IE Startseite setzt sich immer wieder auf easy-search

#0
25.08.2004, 23:31
...neu hier

Beiträge: 2
#1 Hallo,
wer kann mir helfen,nach ungefähr 2 Tagen weiss ich jetzt wie man ein hijack
Log. erstellt was fixen bedeutet usw.meien Google Startseite setzt sich immer wieder auf irgendwelche anderen Websites um, Easy search etc.#
Des öfteren kommt die Fehlermeldung http 404 und manchmal funktioniert alles wieder.Manuell eine Startseite eingeben oder auf about.blank setzen ist alles sinnlos.Bitte wer kann mir helfen bzw.sich meinem Logfile mal annehmen.


Logfile of HijackThis v1.98.2
Scan saved at 22:37:13, on 25.08.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\WININET32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\TELEDAT\IWATCH.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTOIMPACT 5 BUNDLED EDITION\ABMTSR.EXE
C:\PROGRAMME\WINTV\IR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DIALUP.EXE
C:\PROGRAMME\AIELOCAL\AIELOCAL.EXE
C:\WINDOWS\DIALUP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\DIALUP.EXE
D:\EIGENE DATEIEN\DOWNLOADS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprofdll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O4 - Startup: MICROSOFT OFFICE.LNK = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ISDNWATCH.LNK = C:\Programme\Teledat\IWatch.exe
O4 - Startup: ALBUM FAST START.LNK = C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe
O4 - Startup: AUTOSTART IR.LNK = C:\Programme\WinTV\ir.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoadingcab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253
Seitenanfang Seitenende
25.08.2004, 23:44
Member

Beiträge: 441
#2 Hallo,

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Diese Prozesse beenden:
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\WININET32.EXE
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\RUNWIN32.EXE

Diese Einträge fixen:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoadingcab
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab

Wechsle in den abgesicherten Modus und lösche diese Dateien:
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\WININET32.EXE

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- neue Startseite vergeben
- dein System updaten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
- neues Log-File von HJT + Virus Log Information von eScan posten

Weitere Vorbeugung um eine erneute Infektion auszuschließen:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
26.08.2004, 00:48
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo nochmal,

C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\WININET32.EXE
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\RUNWIN32.EXE

beenden. Ist damit gemeint die Datei "runwin32" "wininwt32"zu Löschen.Die sind bei mir unter Arbeitsplatz-FestplatteC-WINDOWS geführt.Der Ordner c:Bases wo ich das AV Toolkit entpacken soll existiert bei mir nicht,wo sollte es dann hin?

Danke für die Hilfe
Dieser Beitrag wurde am 26.08.2004 um 01:06 Uhr von Petro editiert.
Seitenanfang Seitenende
26.08.2004, 01:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 @Petro
Scanne noch einmal mit dem HijackThis, dann hakst du an, was gepostet wurde, dann <fix<, dann sofort neustarten

1. Loesche unter <Internetoptionen< die TemporaryInternetfiles (auch die Offline-Inhalte)

2)Wenn du c:\base nicht findest, dann suche
mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)

Diese exe kann sich auch in Temporary-Dateien befinden.
(Start<Ausfuehren<%temp% reinkopieren oder reinschreiben.
_________________________________________________________________
3)Dann gehst du in den abgesicherten Modus,
http://www.bsi.de/av/texte/winsave.htm

im abgesicherten Modus loescht du zuerst manuell:
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\WININET32.EXE

4)Dann suchst du eine mwav.exe...das ist der Scanner , setze alle Haeckchen und mache einen Vollscann.
(falls etwas als <no taken action< angezeigt wird, (die 2 DIALER zum Beispiel)....schreib es auf und poste es hier, denn das muss dann manuell geloescht werden !

normal neustarten
____________________________________________________________________
5) Lade Cwshredder von Lowspeed-Download
http://www.chip.de/downloads/c_downloads_11353799.html
und scanne (schliesse vorher den Browser)

6.)Lade AdAware (free) und scanne <alle Dateien<
http://www.lavasoft.de/support/download/

#Dann setze unter <Extras< vom InternetExplorer die Webeinstellungen zurueck
#Dann stelle unter <Internetoptionen< eine neue Startseite ein und poste das Log vom HijackThis noch mal.

Wenn du was nicht verstehst, dann frag.
mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 26.08.2004 um 01:53 Uhr von Sabina editiert.
Seitenanfang Seitenende
26.08.2004, 01:57
Member

Beiträge: 441
#5 @ Petro

Damit du sie fixen kannst, mußt du sie erst im TaskManager beenden (strg+alt+entf gleichzeitig drücken). Diese Dateien dann wie beschrieben im abgesicherten Modus löschen.

Zitat

Der Ordner c:Bases wo ich das AV Toolkit entpacken soll existiert bei mir nicht,wo sollte es dann hin?
Du erstellst unter C: den Ordner bases, nun verschiebst du das heruntergelade Archiv (mwav.exe) und entpackst es. Dann die weitere Vorgehensweise wie beschrieben.
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: