Startseite ändert sich von allein (about:blank) |
||
---|---|---|
#0
| ||
06.07.2004, 13:59
...neu hier
Beiträge: 3 |
||
|
||
06.07.2004, 14:12
Member
Beiträge: 1095 |
#2
@maxel Hi und willkommen an /im Board
Fixe mal bitte dies in HiJackThis Bitte den InternetExplorer dabei geschlossen halten Alles mit R0 & R1 O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll O2 - BHO: (no name) - {3ED06775-EA48-08BC-D154-67557FD22E66} - C:\WINDOWS\System32\jbmw.dll O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file) Dann neustart machen und nochmal Logfile posten Hast du den neusten CWShredder schon benutzt? Außerdem ist diese Datei suspekt C:\WINDOWS\System32\gskqgr.exe Prüf die mal hier http://www.kaspersky.com/de/remoteviruschk.html Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 06.07.2004 um 14:16 Uhr von paff editiert.
|
|
|
||
06.07.2004, 14:51
...neu hier
Themenstarter Beiträge: 3 |
#3
Hallo ihr profis
hab gemacht wie beschrieben Alles mit R0 & R1 O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll O2 - BHO: (no name) - {3ED06775-EA48-08BC-D154-67557FD22E66} - C:\WINDOWS\System32\jbmw.dll O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file) die sachen hab ich gefixt. C:\WINDOWS\System32\gskqgr.exe hab ich geprüft ist ok. Denn CWShredder hab durchlaufen lassen hat aber nichts gefunden. Und jetzt die gute Nachricht es scheint weg zu sein !!! Meine neue Startseite ändert sich nicht mehr. Hier nochmal mein Logfile Logfile of HijackThis v1.98.0 Scan saved at 14:39:37, on 06.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe P:\AVPersonal\AVGNT.EXE P:\Meaya\Popup Ad Filter\PopFilter.exe P:\reconnect\reconnect.exe P:\AVPersonal\AVGUARD.EXE P:\AVPersonal\AVWUPSRV.EXE P:\Brennen\Ahead\InCD\InCDsrv.exe P:\Nortons\Norton AntiVirus\navapsvc.exe P:\Nortons\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe P:\Nortons\Speed Disk\nopdb.exe C:\WINDOWS\System32\svchost.exe P:\Tuning\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - p:\scanner\adobe acrobat reader\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE PopUpKiller+DownloadManager ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000001} - P:\Tuning\GDATAD~1\DSLTUN~1.DLL O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - P:\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - P:\Nortons\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - P:\FlashGet\fgiebar.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - P:\Nortons\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [AVGCtrl] P:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [Popup Ad Filter] P:\Meaya\Popup Ad Filter\PopFilter.exe O4 - Startup: Verknüpfung mit Verknüpfung mit reconnect.lnk = P:\reconnect\reconnect.exe O8 - Extra context menu item: &Add animation to IncrediMail Style Box - P:\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Alles mit FlashGet laden - P:\FlashGet\jc_all.htm O8 - Extra context menu item: Download with NetPumper - P:\Ziehen\NetPumper\AddUrl.htm O8 - Extra context menu item: Mit FlashGet laden - P:\FlashGet\jc_link.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - P:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - P:\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - P:\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - P:\FlashGet\flashget.exe Vielleicht findet ihr noch was faules da drin. Ich hoffe aber nicht. Nochmal vielen Dank paff |
|
|
||
06.07.2004, 15:00
Member
Beiträge: 1095 |
#4
@maxel
Supi , das es geklappt hat kannst du mir bitte trotzdem die Datei C:\WINDOWS\System32\gskqgr.exe gezippt an mike_hangover@gozomail.com (meine FakeEmail) schicken Möchte was abchecken Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
06.07.2004, 16:16
...neu hier
Themenstarter Beiträge: 3 |
#5
@paff
Die Datei habe ich dir geschickt. Wenn du was herrausfinden solltest dann sag es mir bitte. Und nochmal vielen Dank für die Hilfe |
|
|
||
20.07.2004, 08:30
...neu hier
Beiträge: 1 |
#6
hi @ all. ich habe das gleiche Problem:
Logfile of HijackThis v1.97.7 Scan saved at 08:32:42, on 20.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe d:\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe D:\OUTPOS~1\outpost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\sstray.exe d:\Logitech\MouseWare\system\em_exec.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe D:\powerstrip\pstrip.exe D:\AVPersonal\AVGNT.EXE C:\windows\system32\winexplor.exe D:\ICQ\ICQ.exe C:\WINDOWS\System32\ctfmon.exe D:\ASE\eye.exe e:\spiele\steam\Steam.exe D:\Crazy Browser\Crazy Browser.exe D:\Ad-aware 6\Ad-aware.exe D:\AVPersonal\AVWIN.EXE E:\Yoshis Ordner\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O1 - Hosts file is located at: C:\WINDOWS\nsdb\hosts O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot\SDHelper.dll O2 - BHO: (no name) - {C72F0791-CB0B-4062-A1AC-F5BAEF95C843} - C:\WINDOWS\System32\aanoeib.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [Mirabilis ICQ] D:\ICQ\ICQNet.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [PowerStrip] d:\powerstrip\pstrip.exe O4 - HKLM\..\Run: [Outpost Firewall] D:\Outpost Firewall\outpost.exe /waitservice O4 - HKLM\..\Run: [AVGCtrl] d:\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKLM\..\Run: [mysoft] C:\windows\system32\winexplor.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Trashcan (HKCU) O9 - Extra 'Tools' menuitem: Show Trashcan (HKCU) O13 - DefaultPrefix: http://www.microsoit.com/direct.php?url= O13 - WWW Prefix: http://www.microsoit.com/direct.php?url= O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
20.07.2004, 09:11
Member
Beiträge: 1095 |
#7
@yoshilein
Hi und willkommen im/an Board Führe bitte das hier durch, besonders CWShredder http://www.rokop-security.de/main/article.php?sid=703 Lade dir bitte EScan http://www.rokop-security.de/board/index.php?showtopic=3867 Entpacken und updaten wie beschrieben Update deinen eigenen Virenscanner Geh in den Abgesicherten Modus AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!! Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken) Wenn noch vorhanden R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\yoshi\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O1 - Hosts: 81.211.105.69 lender-search.com O1 - Hosts: 81.211.105.68 hot-searches.com O2 - BHO: (no name) - {C72F0791-CB0B-4062-A1AC-F5BAEF95C843} - C:\WINDOWS\System32\aanoeib.dll O4 - HKLM\..\Run: [mysoft] C:\windows\system32\winexplor.exe O13 - DefaultPrefix: http://www.microsoit.com/direct.php?url= O13 - WWW Prefix: http://www.microsoit.com/direct.php?url= Starte ESCAN wie oben beschrieben Scanne mit deinem Virenscanner Das dauert eine Weile Normal starten und nochmal Logfile posten. gruß paff P.S. Das klingt alles noch unheimlich viel! Ist es aber garnicht. EInfach stur durchziehen Wenn Fragen sind einfach posten. __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
Ich hoffe ihr könnt mir helfen. Ich habe gemacht und getan aber die Startseite ändert sich immer von alleine. Ich bin am Ende. Vielen Dank im vorraus.
Hier mein Hijackfile
Logfile of HijackThis v1.98.0
Scan saved at 13:41:23, on 06.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
P:\AVPersonal\AVGNT.EXE
P:\Meaya\Popup Ad Filter\PopFilter.exe
P:\reconnect\reconnect.exe
P:\AVPersonal\AVGUARD.EXE
P:\AVPersonal\AVWUPSRV.EXE
P:\Brennen\Ahead\InCD\InCDsrv.exe
P:\Nortons\Norton AntiVirus\navapsvc.exe
P:\Nortons\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
P:\Nortons\Speed Disk\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\gskqgr.exe
C:\Programme\Internet Explorer\iexplore.exe
P:\Tuning\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - p:\scanner\adobe acrobat reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll
O2 - BHO: (no name) - {3ED06775-EA48-08BC-D154-67557FD22E66} - C:\WINDOWS\System32\jbmw.dll
O2 - BHO: IE PopUpKiller+DownloadManager ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000001} - P:\Tuning\GDATAD~1\DSLTUN~1.DLL
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - C:\WINDOWS\questmod.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - P:\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - P:\Nortons\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - P:\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - P:\Nortons\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [AVGCtrl] P:\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [Popup Ad Filter] P:\Meaya\Popup Ad Filter\PopFilter.exe
O4 - Startup: Verknüpfung mit Verknüpfung mit reconnect.lnk = P:\reconnect\reconnect.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - P:\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: Alles mit FlashGet laden - P:\FlashGet\jc_all.htm
O8 - Extra context menu item: Download with NetPumper - P:\Ziehen\NetPumper\AddUrl.htm
O8 - Extra context menu item: Mit FlashGet laden - P:\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - P:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - P:\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - P:\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - P:\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{62CBA811-C5B3-4661-930F-2B0E17B454E0}: NameServer = 217.237.151.225 194.25.2.129