IE Startseite setzt sich immer wieder auf easy-search |
||
---|---|---|
#0
| ||
25.08.2004, 23:31
...neu hier
Beiträge: 2 |
||
|
||
25.08.2004, 23:44
Member
Beiträge: 441 |
#2
Hallo,
Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen. http://www.mwti.net/antivirus/free_utilities.asp Diese Prozesse beenden: C:\WINDOWS\RUNWIN32.EXE C:\WINDOWS\WININET32.EXE C:\WINDOWS\RUNWIN32.EXE C:\WINDOWS\RUNWIN32.EXE Diese Einträge fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoadingcab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab Wechsle in den abgesicherten Modus und lösche diese Dateien: C:\WINDOWS\RUNWIN32.EXE C:\WINDOWS\WININET32.EXE - mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) - Neustart - neue Startseite vergeben - dein System updaten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx - neues Log-File von HJT + Virus Log Information von eScan posten Weitere Vorbeugung um eine erneute Infektion auszuschließen: - IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm - Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/ __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
26.08.2004, 00:48
...neu hier
Themenstarter Beiträge: 2 |
#3
Hallo nochmal,
C:\WINDOWS\RUNWIN32.EXE C:\WINDOWS\WININET32.EXE C:\WINDOWS\RUNWIN32.EXE C:\WINDOWS\RUNWIN32.EXE beenden. Ist damit gemeint die Datei "runwin32" "wininwt32"zu Löschen.Die sind bei mir unter Arbeitsplatz-FestplatteC-WINDOWS geführt.Der Ordner c:Bases wo ich das AV Toolkit entpacken soll existiert bei mir nicht,wo sollte es dann hin? Danke für die Hilfe Dieser Beitrag wurde am 26.08.2004 um 01:06 Uhr von Petro editiert.
|
|
|
||
26.08.2004, 01:44
Ehrenmitglied
Beiträge: 29434 |
#4
@Petro
Scanne noch einmal mit dem HijackThis, dann hakst du an, was gepostet wurde, dann <fix<, dann sofort neustarten 1. Loesche unter <Internetoptionen< die TemporaryInternetfiles (auch die Offline-Inhalte) 2)Wenn du c:\base nicht findest, dann suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken. <Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen) Diese exe kann sich auch in Temporary-Dateien befinden. (Start<Ausfuehren<%temp% reinkopieren oder reinschreiben. _________________________________________________________________ 3)Dann gehst du in den abgesicherten Modus, http://www.bsi.de/av/texte/winsave.htm im abgesicherten Modus loescht du zuerst manuell: C:\WINDOWS\RUNWIN32.EXE C:\WINDOWS\WININET32.EXE 4)Dann suchst du eine mwav.exe...das ist der Scanner , setze alle Haeckchen und mache einen Vollscann. (falls etwas als <no taken action< angezeigt wird, (die 2 DIALER zum Beispiel)....schreib es auf und poste es hier, denn das muss dann manuell geloescht werden ! normal neustarten ____________________________________________________________________ 5) Lade Cwshredder von Lowspeed-Download http://www.chip.de/downloads/c_downloads_11353799.html und scanne (schliesse vorher den Browser) 6.)Lade AdAware (free) und scanne <alle Dateien< http://www.lavasoft.de/support/download/ #Dann setze unter <Extras< vom InternetExplorer die Webeinstellungen zurueck #Dann stelle unter <Internetoptionen< eine neue Startseite ein und poste das Log vom HijackThis noch mal. Wenn du was nicht verstehst, dann frag. mfg Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 26.08.2004 um 01:53 Uhr von Sabina editiert.
|
|
|
||
26.08.2004, 01:57
Member
Beiträge: 441 |
#5
@ Petro
Damit du sie fixen kannst, mußt du sie erst im TaskManager beenden (strg+alt+entf gleichzeitig drücken). Diese Dateien dann wie beschrieben im abgesicherten Modus löschen. Zitat Der Ordner c:Bases wo ich das AV Toolkit entpacken soll existiert bei mir nicht,wo sollte es dann hin?Du erstellst unter C: den Ordner bases, nun verschiebst du das heruntergelade Archiv (mwav.exe) und entpackst es. Dann die weitere Vorgehensweise wie beschrieben. __________ Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen. Neuaufsetzen des Systems/Absicherung! HJT Anleitung |
|
|
||
wer kann mir helfen,nach ungefähr 2 Tagen weiss ich jetzt wie man ein hijack
Log. erstellt was fixen bedeutet usw.meien Google Startseite setzt sich immer wieder auf irgendwelche anderen Websites um, Easy search etc.#
Des öfteren kommt die Fehlermeldung http 404 und manchmal funktioniert alles wieder.Manuell eine Startseite eingeben oder auf about.blank setzen ist alles sinnlos.Bitte wer kann mir helfen bzw.sich meinem Logfile mal annehmen.
Logfile of HijackThis v1.98.2
Scan saved at 22:37:13, on 25.08.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\WININET32.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\TELEDAT\IWATCH.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTOIMPACT 5 BUNDLED EDITION\ABMTSR.EXE
C:\PROGRAMME\WINTV\IR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\DIALUP.EXE
C:\PROGRAMME\AIELOCAL\AIELOCAL.EXE
C:\WINDOWS\DIALUP.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\RUNWIN32.EXE
C:\WINDOWS\DIALUP.EXE
D:\EIGENE DATEIEN\DOWNLOADS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://easy-search.biz
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://easy-search.biz
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://easy-search.biz
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprofdll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKCU\..\Run: [runwin32] C:\WINDOWS\runwin32.exe
O4 - HKCU\..\Run: [wininet32] C:\WINDOWS\wininet32.exe
O4 - Startup: MICROSOFT OFFICE.LNK = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ISDNWATCH.LNK = C:\Programme\Teledat\IWatch.exe
O4 - Startup: ALBUM FAST START.LNK = C:\Programme\Ulead Systems\Ulead PhotoImpact 5 Bundled Edition\Abmtsr.exe
O4 - Startup: AUTOSTART IR.LNK = C:\Programme\WinTV\ir.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {11BF0E2B-4229-4ADC-9C11-1C6968731018} (Download Class) - http://www.0190-dialer.com/VLoadingcab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/dribnif/de/win/QuickTimeInstaller.exe
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253