HOME SEARCH - Startseite lässt sich nicht entfernen!

#0
12.10.2004, 12:38
...neu hier

Beiträge: 2
#1 Hallo liebe Forumsteilnehmer,
mich hat auch die HOME SEARCH - Startseite erwischt. Zusätzlich zu dem Ärgerniss verändert sich nach dem Erscheinen der o.g. Seite auch immer die SHELL.DLL - Datei und ein wichtiges Programm läuft dann jedesmal nicht.
Ich habe schon fast alle Entfernungsprogramme erfolglos ausprobiert!
Vielleicht kann mir jemand weiterhelfen, z.B. die nette Sabina!?


Hier ist mein Hijack This - Logfile.
Vielen Dank im Vorraus für Eure Mühe!
Mit freundlichen Grüßen DJHolger

Logfile of HijackThis v1.98.2
Scan saved at 12:23:10, on 12.10.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\WINNT\RtlRack.ini:jfbru
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\System32\atiptaxx.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\WINNT\System32\internat.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\DSB\DSB.exe
C:\WINNT\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Lietzau\Eigene Dateien\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\hiyxs.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\hiyxs.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\hiyxs.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.aoizyrogfeu.com/bjJ5wL0HxIYapJWis6uEdq/LdFMGHlcsL5CBgQmJc2njtGu6c4AlOCi_/luWyKKD.html
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {1D3E4E2E-E8BE-F392-C1A4-B33BB3205F18} - C:\WINNT\mfcay.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [DSB] C:\Programme\DSB\DSB.exe
O4 - HKLM\..\Run: [bike mfcd] C:\PROGRA~1\2 TYPE\boldforbags.exe
O4 - HKLM\..\Run: [SIGN RDR BUILD THIS] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dead Pure Sign Rdr\Ruleamen.exe
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D45695D-0AE1-43E8-81F6-2D6C9ED802F1}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D45695D-0AE1-43E8-81F6-2D6C9ED802F1}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3D45695D-0AE1-43E8-81F6-2D6C9ED802F1}: NameServer = 192.168.1.1
Seitenanfang Seitenende
12.10.2004, 12:49
Moderator

Beiträge: 7804
#2 Arbeite das bitte ab und poste ein neues Log:

http://www.rokop-security.de/board/index.php?showtopic=3867

Loesche im abgesicherten Modus bitte diese DAtei:
C:\WINNT\RtlRack.ini Im zweifelsfalle mal Killbox dafuer nutzen.
Windowsupdate bitte auch nicht vergessen!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.10.2004, 16:34
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Ralf,

vielen Dank für den guten Tipp. Es scheint wieder alles i. O. zu sein!
Die RtlRack.ini habe ich noch nicht gelöscht. Wozu ist sie gut?
Wie kann man sich in Zukunft vor ungewollte Startseiten schützen?

Gruß DJHolger
Seitenanfang Seitenende
12.10.2004, 16:51
Moderator

Beiträge: 7804
#4 Es geht weniger um die Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000) eher um den Stream, der da dran haengt (RtlRack.ini):jfbru, loesche die ini und der Stream ist auch weg. Du kannst die \RtlRack.ini auch mit Winrar oder Winzip packen oder umbenennen, wenn du willst, nur muss der Stream da weg, das ist ein Downloader, der dir aus dem Internet neue Malware herunterlaedt.

Naja, schuetzen kannst du dich, indem du den IE so wenig wie moeglich nutzt, oder nur fuer vertrauenswuerdigen seiten. Steige auf eine AlternativeOpera/Mozilla um. Das System auf den neusten Stand zu halten und ein wenig den "Verstand" beim Surfen und arbeiten mit dem PC nutzn bringt auch scon einiges.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.11.2004, 23:37
...neu hier

Beiträge: 2
#5 Hallo Forum!

Auch ich habe das Problem, kann aber mit dem Latein wenig anfangen. Ich habe es mit meinem Norton Antivirus 2004 versucht. Er hat alles erkannt, 16 gelöscht, den Rest habe ich isoliert, aber die Probleme sind nicht weg.

Habe es ebenso mit dem CWS Shredder und hijackthis probiert.

Kann mit jemand mit einem "vollautomatischen" Programm oder einer Anleitung für "Laien" helfen?

Bringt es etwas zukünftig Norton Internet Security zu verwenden?

Anbei mein momentaner Stand von e-scan:
File C:\DOKUME~1\ADMINI~1\ANWEND~1\ccpw.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken.
File C:\WINDOWS\iedh32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\javaiu.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\sdklk32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\javaiu.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\iedh32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\ADMINI~1\ANWEND~1\ccpw.exe tagged as not-a-virus:AdWare.PurityScan.w. No Action Taken.
File C:\WINDOWS\system32\sdklk32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\apisu32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\iedh32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\poktt.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.
File C:\WINDOWS\UpdReg.EXE infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\wsem302.dll infected by "TrojanDownloader.Win32.Dyfuca.dc" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\appsys.exe infected by "TrojanDownloader.Win32.Delf.ck" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\iyvmk.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\javaiu.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\mwqlu.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\sdklk32.exe infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\smartbus.exe tagged as not-a-virus:AdWare.WinFetcher.b. No Action Taken.
File C:\WINDOWS\System32\vtlbar1.dll tagged as not-a-virus:AdWare.ToolBar.Tubby.b. No Action Taken.

Danke im voraus!

LG Martin_
Seitenanfang Seitenende
13.11.2004, 23:58
Moderator

Beiträge: 7804
#6 Du musst die DAteien, die du dort angegeben hast loeschen. Entweder wie hier beschrieben mit Killbox http://www.rokop-security.de/board/index.php?showtopic=3867 , per and oder du holst dir eine Trialversion von Escan und laesst es automatisch erledigen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.11.2004, 08:55
...neu hier

Beiträge: 2
#7 Vielen Dank für die professionelle rasche Hilf! Ich habe jede einzelne Zeile gelöscht und wie es scheint, ist alles (vorerst) weg.

Präventiv für die Zukunft. Bringt ein Norton Internet Security etwas? Oder ist, wie hier gepostet ein alternativer Browser ausreichend?

LG Martin

P.S.: ICQ funktioniert jetzt auch nicht mehr. Reicht es darüber zu installieren?
Seitenanfang Seitenende
15.11.2004, 12:32
Moderator

Beiträge: 7804
#8 Eine Firewall hilft dir in so einem Fall nix, da hilft nur ein alternativer Browser.
In Bezug auf ICQ, versuchs halt!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: