www.us als Startseite im IE

#0
23.07.2004, 11:10
...neu hier

Beiträge: 3
#1 Hallo Leute,

jetzt brauch ich unbedingt Hilfe. Es trägt sich als Startseite immer www.us als startseite ein und ich komme dann auf http://i-search.us/.

Jetzt hab ich aber schon folgende Programme versucht:
-Ad-aware
-spybot-Search & Destroy
-cw shredder
-mwav.exe (jedes Programm hat zwar ein bischen was gefunden aber nix von meinem Probelm ;) )

Ja und natürlich hab ich hijackthis laufen lassen und ausgewertet.
Dort steht auch im R0 gleich www.us als startseite -> löschen hilft aber nix, kommt immer wieder.
Der Rest sagt mir nichts und bei den Laufenden Programmen kenn ich C:\WINDOWS\System32\mnmsrvc.exe und C:\WINDOWS\system32\svcsys.exe weiß aber nicht wie ich die wegbekommen falsch böse.

Jedenfalls hier nochmal das log:

Logfile of HijackThis v1.98.0
Scan saved at 10:56:45, on 23.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\System32\mspmspsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\anvshell.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\WINDOWS\system32\svcsys.exe
C:\Programme\Motorola\A920 Desktop Suite\ConnMngmntBox.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\Programme\Motorola\A920 Desktop Suite\ECTaskScheduler.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Motorola\A920DE~1\Elogerr.exe
C:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntime.exe
C:\PROGRA~1\Motorola\A920DE~1\BROADC~1.EXE
C:\PROGRA~1\Motorola\A920DE~1\SCRFS.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://wvww.us/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 - Hosts: 216.40.230.4 desktop.kazaa.com
O1 - Hosts: 216.40.230.4 alpha.kazaa.com
O1 - Hosts: 216.40.230.4 shop.kazaa.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSSVC] "C:\WINDOWS\system32\svcsys.exe" 8192
O4 - Global Startup: A920 Connection Manager.lnk = C:\Programme\Motorola\A920 Desktop Suite\ConnMngmntBox.exe
O4 - Global Startup: A920 Task Scheduler.lnk = C:\Programme\Motorola\A920 Desktop Suite\ECTaskScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Preispiraten AT - {B05C1AA2-A156-4DF6-B065-04B5D5340E87} - C:\Programme\Preispiraten_AT\preispiraten.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/de/techsupp/activedata/symsupportutil.CAB
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E397D4D7-C209-4EEC-B518-64ADD3A19003}: NameServer = 195.96.0.4 195.70.224.45


Achja, was mir noch aufgefallen ist.
Startseite ist nur bei meinem User immer die Selbe. Wenn ich unter dem User meiner Freundin einsteige ist alles o.k.

Hoffentlich könnt ihr mir helfen
Dieser Beitrag wurde am 23.07.2004 um 12:02 Uhr von ryu editiert.
Seitenanfang Seitenende
23.07.2004, 12:06
Member

Beiträge: 1095
#2 @ryu

Das heir kannst du glaube ich guten Gewissens fixen
O4 - HKCU\..\Run: [MSSVC] "C:\WINDOWS\system32\svcsys.exe" 8192

Dann neustart machen und schauen ob Sie wirklich weg ist.
Schick die Datei mal bitte gezippt an virus@protecus.de


Ansonsten is natürlich der R0 EIntrag noch Böse

Die hier gefallen mir auch nicht
O1 - Hosts: 216.40.230.4 desktop.kazaa.com
O1 - Hosts: 216.40.230.4 alpha.kazaa.com
O1 - Hosts: 216.40.230.4 shop.kazaa.com

Poste mal bitte nochmal das Logfile

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 23.07.2004 um 12:09 Uhr von paff editiert.
Seitenanfang Seitenende
23.07.2004, 12:28
...neu hier

Themenstarter

Beiträge: 3
#3 @paff

vielen Danke svcsys.exe wars!
hier die Antwort von rokop-security.de

469 ms I:\gio\svcsys.exe
Virus W32/Malware ( [ General information ]

* File length: 14336 bytes.

[ Changes to filesystem ]
* Deletes file C:\WINDOWS\SYSTEM\svcsys.exe.
* Creates file C:\WINDOWS\SYSTEM\svcsys.exe.

[ Changes to registry ]
* Creates key "HKCU\Software\FastWebTools".
* Creates key "HKCU\Software\FastWebTools\Commands".
* Creates key "HKCU\Software\FastWebTools\Squad".
* Creates key "HKCU\Software\FastWebTools\ETrans".
* Creates value "MSSVC"=""C:\WINDOWS\SYSTEM\svcsys.exe" 8192" in
key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".
* Modifies value "Start Page"="http://wvww.us/" in key
"HKCU\Software\Microsoft\Internet Explorer\Main".
Seitenanfang Seitenende
23.07.2004, 12:56
Member

Beiträge: 1095
#4 @ryu

Poste bitte nochmal das Logfile.

Mal sehen ob alles sauber ist.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
23.07.2004, 13:02
...neu hier

Themenstarter

Beiträge: 3
#5 na hoffentlich! Jedenfalls kann ich die Startseite wieder verändern und bleibt auch so

Logfile of HijackThis v1.98.0
Scan saved at 13:02:56, on 23.07.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\mnmsrvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\MSTask.exe
C:\WINDOWS\system32\stisvc.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\System32\WBEM\WinMgmt.exe
C:\WINDOWS\System32\mspmspsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\anvshell.exe
C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Creative\Shared Files\CAMTRAY.EXE
C:\Programme\Motorola\A920 Desktop Suite\ConnMngmntBox.exe
C:\Programme\Motorola\A920 Desktop Suite\ECTaskScheduler.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Motorola\A920DE~1\Elogerr.exe
C:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntime.exe
C:\PROGRA~1\Motorola\A920DE~1\BROADC~1.EXE
C:\PROGRA~1\Motorola\A920DE~1\SCRFS.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\rnathchk.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.utanet.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Alcatel\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Programme\Creative\Shared Files\CAMTRAY.EXE
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - Global Startup: A920 Connection Manager.lnk = C:\Programme\Motorola\A920 Desktop Suite\ConnMngmntBox.exe
O4 - Global Startup: A920 Task Scheduler.lnk = C:\Programme\Motorola\A920 Desktop Suite\ECTaskScheduler.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Preispiraten AT - {B05C1AA2-A156-4DF6-B065-04B5D5340E87} - C:\Programme\Preispiraten_AT\preispiraten.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: symsupportutil - https://www-secure.symantec.com/region/de/techsupp/activedata/symsupportutil.CAB
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - https://www-secure.symantec.com/region/de/techsupp/activedata/ActiveData.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://fdl.msn.com/public/chat/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E397D4D7-C209-4EEC-B518-64ADD3A19003}: NameServer = 195.70.224.45 213.90.38.3
Seitenanfang Seitenende
23.07.2004, 13:29
Member

Beiträge: 1095
#6 @ryu

Sieht gut aus

Gruß paff
P.S:
EIne Frage diese Musicmatch
O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe

Was ist das genaubzw. taugt das was. Ich seh das DIng sooft und weiß nicht was es ist ;)
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 23.07.2004 um 13:36 Uhr von paff editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: