IE ändert Startseite nicht mehr

#0
10.09.2004, 18:45
...neu hier

Beiträge: 6
#1 Hallo liebe Leute!

Mein IE ändert die Startseite nicht mehr, selbst bei wiederholter Eingabe einer anderen Adresse. Ich habe ständig die Seite http://microsoft.oem101.biz/ als Startseite :-(.
Anbei erhaltet ihr das Log von hijackthis (siehe unten). Leider bin ich nicht ganz so bewandert mit der Technik und brauche daher wertvolle Tipps. Es wäre lieb, wenn sich das Log mal jemand durchlesen könnte, der sich damit auskennt.

Herzliche Grüße
Martin



Logfile of HijackThis v1.98.2
Scan saved at 18:22:41, on 10.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SS.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT WORKS\WKSSB.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTOIMPACT 5\ABMTSR.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://microsoft.oem101.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://microsoft.oem101.biz/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\WINDOWS\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O21 - SSODL: ss - {F299C926-4986-495D-8B69-A9F6354D4823} - dssa.dll (file missing)
Seitenanfang Seitenende
11.09.2004, 14:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo @mbrandy

fixe mit dem HijackThis:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://microsoft.oem101.biz/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://microsoft.oem101.biz/
O16 - DPF: {11111111-1111-1111-1111-111111113456} - file://c:\info6_s.cab
O21 - SSODL: ss - {F299C926-4986-495D-8B69-A9F6354D4823} - dssa.dll (file missing)

NEUSTARTEN

Ueberpruefe mit Kaspersky (poste das Ergebnis;)
http://www.kaspersky.com/remoteviruschk.html
<C:\WINDOWS\SYSTEM\SS.EXE
Der angebliche Systemprozess läuft nicht im System32 Ordner und ist deshalb als Böse einzustufen.

#Lade den "eScan"
http://www.mwti.net/antivirus/free_utilities.asp
suche mit der Suchfunktion von Windows eine "kavupd.exe" und anklicken.(kann auch im Temporary-Ordner sein)
Start<Ausfuehren< %temp%
Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt (dauert ein bisschen)
#Gehe unbedingt in den abgesicherten Modus (!)
http://www.bsi.de/av/texte/winsave.htm
#suche "mwav.exe und starte so den< eScan<. Alle Häkchen setzen und "Clean-Scan" klicken.

#Nach dem Scann, gehe wieder in den Normalmodus , scanne noch mal und poste alles, was als <deleted< und <renamed< und <no action taken< gefunden wurde das neue Log vom HijackThis noch mal. (Stelle vorher eine neue Startseite ein)

Tip:
<Fall du keinen Virenscanner hast, lade Antivirus (free)
http://www.free-av.de/
<ALTERNATIVBROWSER : zum IE
#Firefox
http://firebird-browser.de/

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 11.09.2004 um 14:12 Uhr von Sabina editiert.
Seitenanfang Seitenende
12.09.2004, 19:00
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Sabina!

Vielen Dank für Deine Anweisungen. Ich habe sie befolgt, wobei ich den AntiVir gleich zu Beginn heruntergeladen habe. Dies gab dann gewisse "Interessenkonflikte" zwischen dem Check durch AntiVir und eScan. Nun zu den Ergebnissen der Arbeit: Kaspersky hat die Datei ss.exe in Windows\System nicht als Virus erkannt und mir gepostet: "You`re clean". AntiVir hat sie als Virus erkannt und gefragt, ob sie gelöscht werden soll. Bisher habe ich sie lediglich in ihrer Funktion unterbunden. ss.exe hat sich seitdem immer wieder "gemeldet". Die Logs von Hijackthis und MWAV poste ich Dir. Soll ich die ss.exe so schnell wie möglich löschen? Für eine Antwort bin ich sehr dankbar.

Herzliche Grüße
Martin


[0xfffb734f] 12/09/2004 14:53:16:510 :[msvLclnt.dll]ModuleName = C:\WINDOWS\TEMP\MWAVSCAN.COM
[0xfffb734f] 12/09/2004 14:53:16:510 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfffb734f] 12/09/2004 14:53:56:770 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfffb734f] 12/09/2004 14:53:56:770 :[msvLclnt.dll]Mode :pACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfffb734f] 12/09/2004 14:53:56:770 :[msvLclnt.dll]TimeOut : ffffffff
[0xfffb734f] 12/09/2004 14:53:56:770 :[msvLclnt.dll]Priority : NORMAL
[0xfff8ad8f] 12/09/2004 14:54:31:210 :[msvLclnt.dll][00000001] File C:\WINDOWS\SYSTEM\dssa.dll infected by Trojan.Win32.Genme.a
[0xfffc6725] 12/09/2004 14:57:07:800 :[msvLclnt.dll]ModuleName = C:\WINDOWS\TEMP\MWAVSCAN.COM
[0xfffc6725] 12/09/2004 14:57:07:800 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfffc6725] 12/09/2004 14:57:33:670 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfffc6725] 12/09/2004 14:57:33:670 :[msvLclnt.dll]Mode :pACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfffc6725] 12/09/2004 14:57:33:670 :[msvLclnt.dll]TimeOut : ffffffff
[0xfffc6725] 12/09/2004 14:57:33:670 :[msvLclnt.dll]Priority : NORMAL
[0xfff8a201] 12/09/2004 14:57:55:370 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08
[0xfffb3c1f] 12/09/2004 15:06:14:310 :[msvLclnt.dll]ModuleName = C:\WINDOWS\TEMP\MWAVSCAN.COM
[0xfffb3c1f] 12/09/2004 15:06:14:370 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfffb3c1f] 12/09/2004 15:06:39:190 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfffb3c1f] 12/09/2004 15:06:39:190 :[msvLclnt.dll]Mode :pACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfffb3c1f] 12/09/2004 15:06:39:190 :[msvLclnt.dll]TimeOut : ffffffff
[0xfffb3c1f] 12/09/2004 15:06:39:190 :[msvLclnt.dll]Priority : NORMAL
[0xfff89547] 12/09/2004 15:06:52:810 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08
[0xfffc4881] 12/09/2004 16:55:06:650 :[msvLclnt.dll]ModuleName = C:\WINDOWS\TEMP\MWAVSCAN.COM
[0xfffc4881] 12/09/2004 16:55:06:760 :[msvLclnt.dll]Registry Key Deleted Properly!!!
[0xfffc4881] 12/09/2004 16:55:24:230 :[msvLclnt.dll]Options Set by External applications MWAVSCAN.COM are 9896960 (0x970400):
[0xfffc4881] 12/09/2004 16:55:24:230 :[msvLclnt.dll]Mode :pACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[0xfffc4881] 12/09/2004 16:55:24:230 :[msvLclnt.dll]TimeOut : ffffffff
[0xfffc4881] 12/09/2004 16:55:24:230 :[msvLclnt.dll]Priority : NORMAL
[0xfff8317d] 12/09/2004 16:59:38:590 :[msvLclnt.dll][00000001] File C:\_RESTORE\TEMP\A0014434.CPY infected by not-a-virus:pornWare.Dialer.SexFiles.e
[0xfff8317d] 12/09/2004 17:26:28:070 :[msvLclnt.dll][00000001] File C:\WINDOWS\Desktop\Seelsorge_mIRC_Admin\mirc.exe infected by not-a-virus:RiskWare.mIRC.6.03
[0xfff8317d] 12/09/2004 17:28:55:160 :[msvLclnt.dll][00000001] File C:\Eigene Dateien\Z-Seelsorge\Seelsorge_mIRC\mirc.exe infected by not-a-virus:RiskWare.mIRC.6.03
[0xfff8317d] 12/09/2004 17:58:25:850 :[msvLclnt.dll]VirusCount = 103467 Latest Date = 2004/09/08



Logfile of HijackThis v1.98.2
Scan saved at 18:41:16, on 12.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT WORKS\WKSSB.EXE
C:\WINDOWS\STARTER.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTOIMPACT 5\ABMTSR.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.christliche-seelsorge.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://microsoft.oem101.biz/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s
O4 - HKLM\..\Run: [AVGCtrl] "C:\PROGRA~1\AVPERS~1\AVGCTRL.EXE" /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\WINDOWS\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
Seitenanfang Seitenende
13.09.2004, 01:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo @mbrandy

Fixe ,damit es aus dem Autostart kommt
O4 - HKLM\..\Run: [mwavscan] "C:\WINDOWS\TEMP\MWAVSCAN.COM" /s

neustarten

#Dann deaktiviere die Wiederherstellung(!)
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924
#und loesche <ss.exe in Windows\System<
(das ist kein Virus, sondern ein Sex-Dialer) und muss manuell geloescht werden.

Dann aktiviere wieder die Wiederherstellung.

Das Log ist sauber. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.12.2004 um 14:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.09.2004, 13:05
...neu hier

Themenstarter

Beiträge: 6
#5 Liebe Sabina!

In den letzten Tagen kam ich nicht dazu. Dafür werde ich es jetzt an dieser Stelle nachholen. Ich möchte Dir ganz herzlich für Deine Hilfe danken. Sie war konkret, wenig zeitaufwendig und effektiv. Der PC funktioniert wieder. Damit hast Du nicht nur mir geholfen, sondern vielen, die über unsere Website Seelsorge im I-Net suchen. Fühle Dich lieb gedrückt, sofern es Dir Recht ist und das in Ordnung geht.

Herzliche Grüße
Martin
Seitenanfang Seitenende
28.09.2004, 13:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo @mbrandy

#Kumulativer Sicherheitspatch für Internet Explorer 6 (KB867801)
Durch eine bekannte Sicherheitslücke könnte ein Angreifer auf einem Computer Dateien lesen oder Programme ausführen, wenn mit dem Computer Websites des Angreifers besucht wurden.
http://www.microsoft.com/downloads/details.aspx?FamilyID=4c2f8a40-1b88-4f93-98b1-1619dcfd7273&displaylang=de
#Internet Explorer 6 Service Pack 1
http://www.microsoft.com/downloads/details.aspx?displaylang=de&FamilyID=1E1550CB-5E5D-48F5-B02B-20B602228DE6

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 28.09.2004 um 13:47 Uhr von Sabina editiert.
Seitenanfang Seitenende
28.09.2004, 20:26
...neu hier

Beiträge: 7
#7 HI leute!!
ich bin neu hier, gerade erst angemeldet!!
und freue mich auf jede Hilfe:Hab auch so ein problem!!
SO das ist mein Problem:wenn ich meinen Internet Explorer starte dann kommt die Seite :about:Blank, als Startseite .
Ich kann keine andere Seite als Startseite machen .....sie ändert sich immer wieder auf die Seite!!!Und dann kommt da noch so ein kleineres Fenster:

Network Adminitrator Important Notice!!!
Attention:Your computer is infected with Spyware and Adware.
You can protect your privacy and improve your Pc perfomance by removing spyware.dann so schild. do yo want to Remove spyware in a few minutes?
klick ok?

ich kenn mich halt damit kaum aus und würde mich sehr freuen wenn es mir
jemand gut erklären könnte wie ich mein problem beheben könne!!!

Schon mal danke im Voraus!!!

Mein log mit hijackthis:
Logfile of HijackThis v1.97.7
Scan saved at 20:23:37, on 28.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Roxio\GoBack\GBPoll.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\slserv.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\a2\a2guard.exe
C:\Programme\Roxio\GoBack\GBTray.exe
C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasDtServ.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\Programme\a2\a2start.exe
C:\Programme\a2\a2scan.exe
E:\Spiele\Skype\Phone\Skype.exe
E:\Spiele\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mymtw.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6EEB8BC0-B9C5-4CD7-A95B-0619EE48E33E} - C:\WINDOWS\System32\hpkp.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_02\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [ICQ Lite] E:\Spiele\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [Steam] E:\spiele\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKCU\..\Run: [Demo Manager] E:\Spiele\Demomanager\Demomanager.exe -autorun
O4 - HKCU\..\Run: [Spyware-Cop] "C:\Programme\Spyware-Cop\Spyware-Cop.exe" /s
O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe"
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Spiele\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: GoBack.lnk = C:\Programme\Roxio\GoBack\GBTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {C2FCEF4E-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI File information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E56886A8-C875-4475-87AB-331530DDB49E}: NameServer = 217.237.150.141 217.237.150.97

Sabina wäre nett wenn du mir auch helfen könntest!!!
Seitenanfang Seitenende
28.09.2004, 23:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo @Robin-89

Fixe mit dem HijackThis, dann neustarten:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.search.msn.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ROBINA~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {6EEB8BC0-B9C5-4CD7-A95B-0619EE48E33E} - C:\WINDOWS\System32\hpkp.dll (file missing)
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\GIANT Company Software\GIANT
AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [Spyware-Cop] "C:\Programme\Spyware-Cop\Spyware-Cop.exe"
/s
O4 - HKCU\..\Run: [Spyware Begone] C:\freescan\freescan.exe -FastScan

neustarten

#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#Deinstalliere:
<C:\Programme\Spyware-Cop\Spyware-Cop.exe
und loesche alles , was du findest vom Programm (auch in der Registry)
Start<Ausfuehren<regedit (oben links ist die Suchfunktion)

#Start<Ausfuehren<cmd (reinkopieren;)
regsvr32 /u c:\system32\hpkp.dll
<enter<

neustarten

#c:\system32\hpkp.dll umbenennen in :hpkp.dl und loeschen

#Internet Explorer<Menüleiste Extras<Internet Optionen<Allgemein<Verlauf" leeren, Cookies, TemporaryInternetfiles (auch Offline) loeschen

#Datentraegerbereinigung: und Loeschen der Temporary-Dateien
Disk Cleanup Wizard
1. Start<Ausfuehren<cleanmgr
2. Click Temporary Internet Files, O.K

#Leere die Odner (nicht die Ordner selbst loeschen:
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*

#AboutBuster laden
www.malwarebytes.biz/AboutBuster.zip
Alle Dateien in einen Ordner entpacken, die Readme Datei lesen, dann das Programm ausführen (evtl auch im abgesicherten Modus)

#Sphj.fix
<.sp.html (obfuscated)<
http://www.rokop-security.de/main/article.php?sid=746
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#TraXEx 2.2 ist ein zuverlässiges Sicherheits-Programm für alle aktuellen Internet-Browser und Windows.
TraXEx löscht Spuren, die Ihr Internet-Browser beim Surfen auf Ihrem PC hinterläßt

#Um die Diensteverwaltung explizit aufzurufen, geben Sie unter Start > Ausführen den Befehl services.msc ein.
#Nachrichtendienst
Starttyp-Empfehlung: DEAKTIVIERT
"Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern.
(wird auch von Spyware-Software "gekapert"

Dann poste das Log noch einmal.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 25.12.2004 um 13:58 Uhr von Sabina editiert.
Seitenanfang Seitenende
24.12.2004, 22:12
...neu hier

Themenstarter

Beiträge: 6
#9 Liebe Sabina!

Das Leitwort der diesjährigen Weihnachtsfeier an der Grundschule, die inzwischen zwei unserer Kinder besuchen, hat mich sehr bewegt. Daher möchte ich es gerne an Dich und die Deinen weitergeben. Es stammt aus Afrika und lautet: "Viele kleine Leute, die in vielen kleinen Orten viele kleine Dinge tun, können das Gesicht der Welt verändern."

Vielen Dank nochmals für Deine Hilfe in diesem Jahr.

Dir und den Deinen wünsche ich ein gesegnetes Weihnachtsfest und einen guten Start in das Jahr 2005!

Herzliche Grüße
mbrandy
Seitenanfang Seitenende
05.03.2005, 18:25
...neu hier

Themenstarter

Beiträge: 6
#10 Liebe Sabina!

Anbei poste ich Dir mein aktuelles Logfile von hijackthis. Es wäer lieb, wenn Du es mal kurz durchlesen könntest und mir dann schreibst, ob alles ok ist. Im Moment kann ich Word nicht mehr öffnen. Das System meldet eine Überlastung, aber andere Anwendungsprogramme gehen auch ohne Probleme auf. Hast Du da einen Rat für mich, woran das liegen kann. Ich habe es bereits deinstalliert und wieder neu installiert, aber es funktioniert nicht mehr. Nach dem Starten bleibt der PC hängen und ich muss ihn ausschalten.
Vielen Dank für Deinen Einsatz!

Herzliche Grüße
Martin (mbrandy)




Logfile of HijackThis v1.98.2
Scan saved at 18:14:43, on 05.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\MICROSOFT WORKS\WKSSB.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\REAL\REALPLAYER\REALPLAY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\MICROSOFT SHARED\WORKS SHARED\WKCALREM.EXE
C:\PROGRAMME\ULEAD SYSTEMS\ULEAD PHOTOIMPACT 5\ABMTSR.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\PROGRAMME\TROJANCHECK 6\TCGUARD.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: Album Fast Start.lnk = C:\Programme\Ulead Systems\Ulead PhotoImpact 5\ABMTSR.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\WINDOWS\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
Seitenanfang Seitenende
06.03.2005, 20:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo@mbrandy

das Log vom HijackThis (auesserlich) ist sauber.
Schau mal bitte in den Geraetemanger, ob du dort ein gelbes Symbol findest, vielleicht ist ein Treiber nicht in Ordnung.

ich glaube nicht, dass es ein Virenprobelm ist, aber du kannst mal nachsehen.....

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

•Beim Start von e-scan sollten folgende Optionen aktiviert sein:


-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:[/u]

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein



•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.03.2005, 03:41
...neu hier

Beiträge: 3
#12 Hallo!

Ich suche jetzt schon die ganze Nacht nach geeigneten Antivieren- oder Antispywareprogrammen, doch bis jetzt hat sich trotz einiger Aktualisierungen auf diesem Gebiet noch nicht sehr viel getan - daher hoffe ich jetzt, dass ihr mir vielleicht weiterhelfen könnt.

Zu der Art des Problems: Es ist vollkommen identisch, mit dem, das bereits Robin-89 einige Beiträge weiter oben geschildert hat.
Hinzu kommt noch, dass sich bei mir immer wieder ein Fenster von Norton AntiVirus öffnet, mit folgendem Text:

Virus Alert
High Risk
Norton AntiVirus has detected and removed a virus from your computer
Object Name: C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll
Virus Name: Trojan.StartPage
Action Taken: The file was automatically deleted.

Im gleichen moment öffnet sich dann ein weiteres Fenster von RUNDLL:

Fehler beim Laden von C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll
Das angegebene Modul wurde nicht gefunden.

Dieses Fenster öffnet sich zusammen mit ein paar spyware meldungen (angeblich von microsoft) und nem popup fenster alle paar Minuten. Also wurde die Datei doch nicht zerstört.?

Ich bin erst gerade auf eure Seite gestoßen und in diesem Zusammenhang auch auf HijackThis. Ich weiß also nicht, ob sich mein zweites Problem auch durch hijackthis lösen lässt.
Da ich von der Materie "Computer" leider nicht allzuviel verstehe, würde ich mich über eine anfänfängerfreundliche Beschreibung sehr freuen.

Herzlichen Dank schonmal im vorraus.

Sabina, vielleicht findest du ja auch die Zeit, mir so kompetent weiterzuhelfen, wie bei den vorigen "Patienten" ;-)
Dafür wäre ich dir sehr dankbar.

Hier kommt mein Log:


Logfile of HijackThis v1.99.1
Scan saved at 02:47:40, on 15.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: (no name) - {50103D55-4D2C-4D8A-991F-69B6B96394D1} - C:\WINDOWS\System32\omgd.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E718F61-C484-4F18-B9C3-B40116E7CEBC}: NameServer = 69.50.188.180,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68F8916-9A88-42BB-BD38-509DC3084F27}: NameServer = 69.50.188.180 195.225.176.37
O18 - Filter: text/html - {D5E88E93-5B32-4953-ADBA-9727F0717E87} - C:\WINDOWS\System32\omgd.dll
O18 - Filter: text/plain - {D5E88E93-5B32-4953-ADBA-9727F0717E87} - C:\WINDOWS\System32\omgd.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
Seitenanfang Seitenende
16.03.2005, 18:21
...neu hier

Themenstarter

Beiträge: 6
#13 Liebe Sabina!

Vielen Dank für Deine Hinweise und Tipps. Diesmal war das Problem einfach zu lösen. Es lag daran, daß sich zu viele Formatvorlagen in Word angehäuft hatten. Nachdem ich alle gelöscht hatte, ging Word wieder einwandfrei. Es muss ja nicht immer ein Virus sein ;-).
Trotzdem vielen Dank nochmal für Dein Mitdenken.

Herzliche Grüße
Martin (mbrandy)
Seitenanfang Seitenende
17.03.2005, 12:35
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo@Counter_18

Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

poste das Log vom Scann und dann das neue Log vom HijackThis, denn dann beginnen wir die eigentliche Reinigung ;)
der PC ist sehr verseucht.......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.03.2005, 15:32
...neu hier

Beiträge: 3
#15 Hallo @ Sabina

Danke schon mal für die ersten Instruktionen.
Hab soweit mal alles gemacht.

Das Log von SPSeHjFix
(Habs mehrfach durchlaufen lassen, weil ich zwischenzeitlich noch im I-net war und auf Nummer sicher gehen wollte. Ich hoffe, du findest dich trotzdem zurecht):

03/17/2005 14:20:20 SPSeHjFix started v1.07
03/17/2005 14:20:20 OS: WinXP (5.1.2600)
03/17/2005 14:20:21 Searchassistant Unintaller found
03/17/2005 14:20:21 Searchassistant Unintaller - Keys Deleted
03/17/2005 14:20:21 UBF: 6
03/17/2005 14:20:21 UBB: 5
03/17/2005 14:20:21 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted)
03/17/2005 14:20:21 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (error while deleting)
03/17/2005 14:20:21 FilterKey: HKEY_CLASSES_ROOT\CLSID\{D5E88E93-5B32-4953-ADBA-9727F0717E87} (deleted)
03/17/2005 14:20:21 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted)
03/17/2005 14:20:21 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (error while deleting)
03/17/2005 14:20:21 FilterKey: HKEY_CLASSES_ROOT\CLSID\{D5E88E93-5B32-4953-ADBA-9727F0717E87} (error while deleting)
03/17/2005 14:20:21 UBR: 15
03/17/2005 14:20:21 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Daniel\LOKALE~1\Temp\se.dll,DllInstall (deleted)
03/17/2005 14:20:21 Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
03/17/2005 14:20:21 File added to delete: c:\windows\system32\omgd.dll
03/17/2005 14:20:21 File added to delete: c:\dokume~1\daniel\lokale~1\temp\se.dll
03/17/2005 14:20:21 Reboot
03/17/2005 14:20:34 SPSeHjFix started v1.07
03/17/2005 14:20:34 OS: WinXP (5.1.2600)
03/17/2005 14:20:34 Searchassistant Unintaller found
03/17/2005 14:20:34 Searchassistant Unintaller - Keys Deleted
03/17/2005 14:20:34 UBF: 6
03/17/2005 14:20:34 UBB: 5
03/17/2005 14:20:34 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted)
03/17/2005 14:20:34 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (error while deleting)
03/17/2005 14:20:34 FilterKey: HKEY_CLASSES_ROOT\CLSID\{944AF4C1-4669-4E58-A51C-EFBF44AD26F8} (deleted)
03/17/2005 14:20:34 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted)
03/17/2005 14:20:34 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (error while deleting)
03/17/2005 14:20:34 FilterKey: HKEY_CLASSES_ROOT\CLSID\{944AF4C1-4669-4E58-A51C-EFBF44AD26F8} (error while deleting)
03/17/2005 14:20:34 UBR: 15
03/17/2005 14:20:34 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Daniel\LOKALE~1\Temp\se.dll,DllInstall (deleted)
03/17/2005 14:20:34 Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
03/17/2005 14:20:34 File added to delete: c:\windows\system32\omgd.dll
03/17/2005 14:20:34 File added to delete: c:\dokume~1\daniel\lokale~1\temp\se.dll
03/17/2005 14:20:34 Reboot
03/17/2005 14:21:19 SPSeHjFix started v1.07
03/17/2005 14:21:19 OS: WinXP (5.1.2600)
03/17/2005 14:21:19 Searchassistant Unintaller found
03/17/2005 14:21:19 Searchassistant Unintaller - Keys Deleted
03/17/2005 14:21:19 UBF: 6
03/17/2005 14:21:19 UBB: 5
03/17/2005 14:21:19 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted)
03/17/2005 14:21:19 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (error while deleting)
03/17/2005 14:21:19 FilterKey: HKEY_CLASSES_ROOT\CLSID\{94B889F9-7FA7-48E8-8E91-74A3CD523B14} (deleted)
03/17/2005 14:21:19 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted)
03/17/2005 14:21:19 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (error while deleting)
03/17/2005 14:21:19 FilterKey: HKEY_CLASSES_ROOT\CLSID\{94B889F9-7FA7-48E8-8E91-74A3CD523B14} (error while deleting)
03/17/2005 14:21:19 UBR: 15
03/17/2005 14:21:19 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Daniel\LOKALE~1\Temp\se.dll,DllInstall (deleted)
03/17/2005 14:21:19 Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
03/17/2005 14:21:19 File added to delete: c:\windows\system32\omgd.dll
03/17/2005 14:21:19 File added to delete: c:\dokume~1\daniel\lokale~1\temp\se.dll
03/17/2005 14:21:19 Reboot
03/17/2005 14:22:06 SPSeHjFix started v1.07
03/17/2005 14:22:06 OS: WinXP (5.1.2600)
03/17/2005 14:22:06 Searchassistant Unintaller found
03/17/2005 14:22:06 Searchassistant Unintaller - Keys Deleted
03/17/2005 14:22:06 UBF: 6
03/17/2005 14:22:06 UBB: 5
03/17/2005 14:22:06 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted)
03/17/2005 14:22:06 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (error while deleting)
03/17/2005 14:22:06 FilterKey: HKEY_CLASSES_ROOT\CLSID\{F7C3F6F7-0A0D-4AFF-AD19-B96338A0C8A2} (deleted)
03/17/2005 14:22:06 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted)
03/17/2005 14:22:06 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (error while deleting)
03/17/2005 14:22:06 FilterKey: HKEY_CLASSES_ROOT\CLSID\{F7C3F6F7-0A0D-4AFF-AD19-B96338A0C8A2} (error while deleting)
03/17/2005 14:22:06 UBR: 15
03/17/2005 14:22:06 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Daniel\LOKALE~1\Temp\se.dll,DllInstall (deleted)
03/17/2005 14:22:06 Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank03/17/2005 15:05:48 SPSeHjFix started v1.07
03/17/2005 15:05:48 OS: WinXP (5.1.2600)
03/17/2005 15:05:48 Searchassistant Unintaller found
03/17/2005 15:05:48 Searchassistant Unintaller - Keys Deleted
03/17/2005 15:05:48 UBF: 6
03/17/2005 15:05:48 UBB: 5
03/17/2005 15:05:48 FilterKey: HKEY_CLASSES_ROOT\text/html (deleted)
03/17/2005 15:05:48 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/html (error while deleting)
03/17/2005 15:05:48 FilterKey: HKEY_CLASSES_ROOT\CLSID\{C2B1E22D-AEDA-45A0-A75A-29C4E3D05078} (deleted)
03/17/2005 15:05:48 FilterKey: HKEY_CLASSES_ROOT\text/plain (deleted)
03/17/2005 15:05:48 FilterKey: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\text/plain (error while deleting)
03/17/2005 15:05:48 FilterKey: HKEY_CLASSES_ROOT\CLSID\{C2B1E22D-AEDA-45A0-A75A-29C4E3D05078} (error while deleting)
03/17/2005 15:05:48 UBR: 13
03/17/2005 15:05:48 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Daniel\LOKALE~1\Temp\se.dll,DllInstall (deleted)
03/17/2005 15:05:48 Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://C:\DOKUME~1\Robert\LOKALE~1\Temp\se.dll/sp.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
03/17/2005 15:05:48 File added to delete: c:\windows\system32\omgd.dll
03/17/2005 15:05:48 File added to delete: c:\dokume~1\daniel\lokale~1\temp\se.dll
03/17/2005 15:05:48 Reboot
03/17/2005 15:12:28 SPSeHjFix started v1.07
03/17/2005 15:12:28 OS: WinXP (5.1.2600)
03/17/2005 15:12:28 UBF: 4
03/17/2005 15:12:28 UBB: 5
03/17/2005 15:12:28 UBR: 12
03/17/2005 15:12:28 Bad IE-pages:
03/17/2005 15:12:28 Not infected->END
1:04 Bad IE-pages:
03/17/2005 15:21:04 Not infected->END



und das Log von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 15:25:12, on 03/17/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Altnet\Points Manager\Points Manager.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\System32\wuauclt.exe
C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe
C:\PROGRA~2\Altnet\DOWNLO~1\adm4005.exe
C:\Programme\Microsoft AntiSpyware\gcasServAlert.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\Programme\Winamp\Winamp.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://targetclicks.net/srch.php?qq=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.searchmaid.com/search.php?qq=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.searchmaid.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL
O2 - BHO: PBlockadeHelper Class - {4115122B-85FF-4DD3-9515-F075BEDE5EB5} - C:\Programme\Oemji\Toolbar\PopupBlocker\PBHelper.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: (no name) - {50103D55-4D2C-4D8A-991F-69B6B96394D1} - C:\WINDOWS\System32\omgd.dll (file missing)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: OemjiSearchPlus - {D240DC29-C093-4388-B71F-A7103C796B0C} - C:\Programme\Oemji\OemjiSearchPlus\OemjiPls.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\2.bin\MYBAR.DLL
O3 - Toolbar: Oemji - {804DB5C7-31E6-4885-850A-F1941B58A4C7} - C:\Programme\Oemji\Toolbar\OemjiSrc.dll
O4 - HKLM\..\Run: [Security iGuard] C:\Programme\Security iGuard\Security iGuard.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KAZAA] C:\Dokumente und Einstellungen\Daniel\Eigene Dateien\kazaa.exe /SYSTRAY
O4 - HKLM\..\Run: [AltnetPointsManager] C:\Program Files\Altnet\Points Manager\Points Manager.exe -s
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [SpySpotter] C:\PROGRA~1\SPYSPO~1\SpySpotter.exe -onreboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3E718F61-C484-4F18-B9C3-B40116E7CEBC}: NameServer = 69.50.188.180,195.225.176.37
O17 - HKLM\System\CCS\Services\Tcpip\..\{E68F8916-9A88-42BB-BD38-509DC3084F27}: NameServer = 69.50.188.180 195.225.176.37
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Viele Grüße, Counter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »