http://www.web--search.com als Startseite - Hilfe

#0
13.12.2004, 12:39
...neu hier

Beiträge: 5
#1 Ich habe ein Problem. Auf meinem Rechner in der Firma (Netzwerk, Windows NT) finde ich im Internetexplorer neuerdings immer eine andere Startseite. Diese lautet: http://www.web--search.com
Wenn ich die Seite auf die bisher vorhandene ändere, bleibt dieses auch so lange ich im Internet bin bestehen, sobald ich jedoch den Explorer einmal verlassen habe, ist die Seite wieder geändert.
Ich habe mir das Programm Hijackthis runter geladen und versuche nun dem Verursacher auf die Schliche zu kommen. Einige Dinge habe ich schon gelöscht. Leider bisher vergebens.
Was kann ich tun, wer kann mir einen Tip geben. Bin auch nicht so sicher mit dem Programm.
Vielen Dank.
Seitenanfang Seitenende
13.12.2004, 12:57
Moderator

Beiträge: 7805
#2 Wer ist denn bei euch fuer die Rechner verantwortlich, bzw wie wird "Malwarebefall" bei euch gehandhabt? Im Zweifelsfalle, ein Hijackthis Log posten, nur solltest du klaeren, ob du die Erlaubniss hast, am Rechner herumzuwerkeln!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.12.2004, 12:59
...neu hier

Themenstarter

Beiträge: 5
#3 Wollte die Daten, die das Programm gefunden hat, ja mit in meine Frage setzen. Weiß aber nicht, wie ich die große Übersicht kopiere !!
Seitenanfang Seitenende
13.12.2004, 13:02
Moderator

Beiträge: 7805
#4 Wenn du auf "Save Log" gehst, sollte sich der Editor oeffnen. Da markierst du alles (Bearbeiten/alles markieren), kopierst es(bearbeiten/kopieren) und fuegst es in eine Antwort (Im antwortfeld rechte maustaste und dort einfuegen waehlen)ein
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.12.2004, 13:05
...neu hier

Themenstarter

Beiträge: 5
#5 Danke :-)
Hier die Daten:

Logfile of HijackThis v1.98.2
Scan saved at 13:03:49, on 13.12.04
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\comsmd.exe
C:\WINNT\System32\DACONFIG.EXE
C:\WINNT\System32\loadwc.exe
C:\Programme\Network Associates\VirusScan NT\SHSTAT.EXE
C:\alfseat\winmod\AlfSrv32.exe
D:\Programme\MSAC-FD1\MSstat.exe
C:\Programme\Microsoft Office\Office\outlook.exe
C:\WINNT\System32\MAPISP32.EXE
C:\WINNT\System32\ddhelp.exe
C:\Programme\XPcleanv5\XPclean.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\unzipped\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://portal.cpn
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://portal/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Volkswagen AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://lpniproxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.45.184.137:3128
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\webdlg32.dll
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\webdlg32.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [COMSMDEXE] comsmd.exe -on
O4 - HKLM\..\Run: [DACONFIGEXE] DACONFIG.EXE R
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan NT\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [AlfServer] c:\alfseat\winmod\AlfSrv32.exe
O4 - HKLM\..\Run: [REMCON PC-Duo System Snapshot] C:\REMCON\CLBOOT32.EXE
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [W32_ADAPI] C:\WINNT\adapi.exe
O4 - Startup: Verknüpfung mit Microsoft Outlook.lnk = ?
O4 - Global Startup: Memory Stick Monitor.lnk = D:\Programme\MSAC-FD1\MSstat.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

[INfo "O17" geloescht]
Seitenanfang Seitenende
13.12.2004, 13:16
...neu hier

Themenstarter

Beiträge: 5
#6 Wenn ich noch ergänzen darf. Wenn ich die Startseite geändert habe bleibt sie auch geändert, wenn ich den PC neu hoch gefahren habe. Sobald ich jedoch irgendeine Internetseite wähle, ändert sich die Startseite. Vorher nicht.
Habe nochmal gescannt. Hier der neue Ausdruck

Logfile of HijackThis v1.98.2
Scan saved at 13:12:35, on 13.12.04
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\comsmd.exe
C:\WINNT\System32\DACONFIG.EXE
C:\WINNT\System32\loadwc.exe
C:\Programme\Network Associates\VirusScan NT\SHSTAT.EXE
C:\alfseat\winmod\AlfSrv32.exe
D:\Programme\MSAC-FD1\MSstat.exe
C:\Programme\Microsoft Office\Office\outlook.exe
C:\WINNT\System32\MAPISP32.EXE
C:\unzipped\hijackthis_198\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://portal
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://porta
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://portal/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Volkswagen AG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://lpniproxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.45.184.137:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\webdlg32.dll
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\webdlg32.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [COMSMDEXE] comsmd.exe -on
O4 - HKLM\..\Run: [DACONFIGEXE] DACONFIG.EXE R
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan NT\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [AlfServer] c:\alfseat\winmod\AlfSrv32.exe
O4 - HKLM\..\Run: [REMCON PC-Duo System Snapshot] C:\REMCON\CLBOOT32.EXE
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [W32_ADAPI] C:\WINNT\adapi.exe
O4 - Startup: Verknüpfung mit Microsoft Outlook.lnk = ?
O4 - Global Startup: Memory Stick Monitor.lnk = D:\Programme\MSAC-FD1\MSstat.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
Seitenanfang Seitenende
13.12.2004, 15:10
Moderator

Beiträge: 7805
#7 Dein Problem scheint das zu sein:

R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\webdlg32.dll
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINNT\Downloaded Program Files\webdlg32.dll

Nur rate ich dir nicht das zu fixen. Wende dich an den Administrator, der eure Rechner wartet. Wenn ih das einigermassen richtig sehe, sollte es sowas bei euch in der Firma gben. Wenn nicht bei euch, wo denn dann!;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
13.12.2004, 15:12
...neu hier

Themenstarter

Beiträge: 5
#8 In der Tat lag es wohl daran. Habe es mit unserem Admin behoben - zumindest trat der Fehler nicht mehr auf.
Vielen herzlichen Dank dennoch an Euch !!
Tolles Forum - mal zu meinen Favoriten gelegt, wer weiß was mir zu Hause am Rechner noch so passiert !!
Gruß Thorsten
Seitenanfang Seitenende
27.12.2004, 00:20
...neu hier

Beiträge: 2
#9 Hallo raman (Ralf?),
auf der Suche nach einer Lösung für das gleiche Problem bin ich in diesem Forum gelandet. Nach der obligatorischen Registrierung erlaube ich mir jetzt die Frage: Wie haben denn ThorstenL. und der Admin den Fehler behoben? Das HiJackThis-Programm steht mir nicht zur Verfügung.

Danke und freundliche Grüße

Rainer
Seitenanfang Seitenende
27.12.2004, 13:25
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo@pepe2411

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip
1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.12.2004 um 13:25 Uhr von Sabina editiert.
Seitenanfang Seitenende
27.12.2004, 16:42
Member

Beiträge: 40
#11

Zitat

Sabina postete
Hallo@pepe2411

HijackThis/1.99 BETA Version
Download: http://www.merijn.org/files/beta/hijackthis199_beta.zip
Alternativ: http://www.hijackthis.de/downloads/...his199_beta.zip
1.Log
Lade/entpacke das Tool --> scan --> save--> es öffnet sich der Editor -->
nun das
KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
@sabina!
warum soll man noch die 1.99_beta verwenden ??
http://www.merijn.org/files/hijackthis.zip
__________
lg
Speedyweb http://members.linzag.net/680262/ --> HijackThis1.99final,AntiVirPE,Mozilla,Security-Links
Dieser Beitrag wurde am 27.12.2004 um 16:43 Uhr von Speedyweb editiert.
Seitenanfang Seitenende
27.12.2004, 16:53
Moderator

Beiträge: 7805
#12 Merijn ist ja nicht "doof"!;) Er hat in das Archiv schon die rel. Version gepackt. Also nicht so extrem problematisch. Obwohl ich an seiner Stelle das Archiv vom Server genommen haette.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.12.2004, 16:56
Moderator

Beiträge: 7805
#13 Hallo Rainer,

es haengt ein wenig davon ab, warum dir Hijackthis nicht zur Verfuegung steht. Du hast den Downloadlink nicht, oder hat es einen anderen Hintergrund?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.12.2004, 22:28
...neu hier

Beiträge: 2
#14 Hi Sabina, Hi Ralf,
es gab bisher bei meinem PC m.E. keinen Handlungsbedarf mit HiJackThis zu scannen; erst die lästige web--search-Startseite . . .
Der Anleitung Sabina's folgend habe ich mit dem HiJackThis gescant:

Logfile of HijackThis v1.99.0
Scan saved at 21:47:04, on 27.12.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
D:\EIGENE DATEIEN\DOWNLOADS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://v73.us/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Start Page = http://v73.us
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://v73.us/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://v73.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://v73.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://v73.us/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://v73.us/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://v73.us/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://v73.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://v73.us/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://v73.us/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://v73.us/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://v73.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://v73.us/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://v73.us/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://v73.us/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://v73.us/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://v73.us/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://v73.us
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\WEBDLG32.DLL
F1 - win.ini: run=hpfsched
O1 - Hosts: 65.125.226.82 www.lycos.com
O1 - Hosts: 65.125.226.82 www.altavista.com
O1 - Hosts: 65.125.226.82 www.cnn.com
O1 - Hosts: 65.125.226.82 www.infospace.com
O1 - Hosts: 65.125.226.82 www.mail.com
O1 - Hosts: 65.125.226.82 www.yahoo.com
O1 - Hosts: 65.125.226.82 www.gg.com
O1 - Hosts: 65.125.226.82 www.gmail.com
O1 - Hosts: 65.125.226.82 www.google.com
O1 - Hosts: 65.125.226.82 www.icq.com
O1 - Hosts: 65.125.226.82 www.norton.com
O1 - Hosts: 65.125.226.82 www.microsoft.com
O1 - Hosts: 65.125.226.82 www.msn.com
O1 - Hosts: 65.125.226.85 www.thehun.com
O1 - Hosts: 65.125.226.85 www.thehun.net
O1 - Hosts: 65.125.226.82 lycos.com
O1 - Hosts: 65.125.226.82 altavista.com
O1 - Hosts: 65.125.226.82 cnn.com
O1 - Hosts: 65.125.226.82 infospace.com
O1 - Hosts: 65.125.226.82 mail.com
O1 - Hosts: 65.125.226.85 www.worldsex.com
O1 - Hosts: 65.125.226.85 www.al4a.com
O1 - Hosts: 65.125.226.85 www.book-mark.net
O1 - Hosts: 65.125.226.85 www.easypic.com
O1 - Hosts: 65.125.226.85 www.call-kelly.com
O1 - Hosts: 65.125.226.85 www.sleazydream.com
O1 - Hosts: 65.125.226.85 www.amplandmovies.com
O1 - Hosts: 65.125.226.85 www.mature-post.comO1 - Hosts: 65.125.226.82 yahoo.com
O1 - Hosts: 65.125.226.82 gg.com
O1 - Hosts: 65.125.226.82 gmail.com
O1 - Hosts: 65.125.226.82 google.com
O1 - Hosts: 65.125.226.82 icq.com
O1 - Hosts: 65.125.226.82 norton.com
O1 - Hosts: 65.125.226.82 microsoft.com
O1 - Hosts: 65.125.226.82 msn.com
O1 - Hosts: 65.125.226.85 thehun.com
O1 - Hosts: 65.125.226.85 thehun.net
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\WEBDLG32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\Run: [winhost] C:\WINDOWS\MSXMIDI.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [System Update2] c:\windows\system\wupdmgr.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE

Hoffentlich könnt ihr damit etwas anfangen.

Danke und freundliche Grüße
Rainer
Seitenanfang Seitenende
27.12.2004, 23:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo@pepe2411

deaktiviere die Wiederherstellung
«Windows Me
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807134146924
->>Öffne dafür »Systemsteuerung | System« und wechsel zu
»Systemwiederherstellung«. Dort hake dann
»Systemwiederherstellung auf allen Laufwerken deaktivieren« ab.

Lade (entpacke und lass auf dem Desktop)
KillBox
http://www.bleepingcomputer.com/files/killbox.php
http://download.broadbandmedic.com/

Lade: mwav.exe
http://bilder.informationsarchiv.net/Nikitas_Tools/
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavup.exe (Update- in DOS) ausführen

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://v73.us/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Start Page = http://v73.us
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://v73.us/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://v73.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://v73.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://v73.us/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://v73.us/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web--search.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://v73.us/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://v73.us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://v73.us/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://v73.us/search.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://v73.us/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://v73.us
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://v73.us/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://v73.us/search.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://v73.us/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://v73.us/search.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://v73.us/search.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://v73.us
R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\WEBDLG32.DLL

O1 - Hosts: 65.125.226.82 www.lycos.com
O1 - Hosts: 65.125.226.82 www.altavista.com
O1 - Hosts: 65.125.226.82 www.cnn.com
O1 - Hosts: 65.125.226.82 www.infospace.com
O1 - Hosts: 65.125.226.82 www.mail.com
O1 - Hosts: 65.125.226.82 www.yahoo.com
O1 - Hosts: 65.125.226.82 www.gg.com
O1 - Hosts: 65.125.226.82 www.gmail.com
O1 - Hosts: 65.125.226.82 www.google.com
O1 - Hosts: 65.125.226.82 www.icq.com
O1 - Hosts: 65.125.226.82 www.norton.com
O1 - Hosts: 65.125.226.82 www.microsoft.com
O1 - Hosts: 65.125.226.82 www.msn.com
O1 - Hosts: 65.125.226.85 www.thehun.com
O1 - Hosts: 65.125.226.85 www.thehun.net
O1 - Hosts: 65.125.226.82 lycos.com
O1 - Hosts: 65.125.226.82 altavista.com
O1 - Hosts: 65.125.226.82 cnn.com
O1 - Hosts: 65.125.226.82 infospace.com
O1 - Hosts: 65.125.226.82 mail.com
O1 - Hosts: 65.125.226.85 www.worldsex.com
O1 - Hosts: 65.125.226.85 www.al4a.com
O1 - Hosts: 65.125.226.85 www.book-mark.net
O1 - Hosts: 65.125.226.85 www.easypic.com
O1 - Hosts: 65.125.226.85 www.call-kelly.com
O1 - Hosts: 65.125.226.85 www.sleazydream.com
O1 - Hosts: 65.125.226.85 www.amplandmovies.com
O1 - Hosts: 65.125.226.85 www.mature-post.comO1 - Hosts: 65.125.226.82 yahoo.com
O1 - Hosts: 65.125.226.82 gg.com
O1 - Hosts: 65.125.226.82 gmail.com
O1 - Hosts: 65.125.226.82 google.com
O1 - Hosts: 65.125.226.82 icq.com
O1 - Hosts: 65.125.226.82 norton.com
O1 - Hosts: 65.125.226.82 microsoft.com
O1 - Hosts: 65.125.226.82 msn.com
O1 - Hosts: 65.125.226.85 thehun.com
O1 - Hosts: 65.125.226.85 thehun.net

O2 - BHO: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\WEBDLG32.DLL
O4 - HKLM\..\Run: [winhost] C:\WINDOWS\MSXMIDI.EXE
O4 - HKCU\..\Run: [System Update2] c:\windows\system\wupdmgr.exe

neustarten
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

----------------------------------------------------
#oeffne die Killbox
geh auf
<Delete File on Reboot
und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

c:\windows\system\wupdmgr.exe
C:\WINDOWS\MSXMIDI.EXE

<<klicke:Unregister .dll before deleting.”
C:\WINDOWS\DOWNLOADED PROGRAM FILES\WEBDLG32.DLL

#PC neustarten und wieder in den abgesicherten Modus gehen.
--------------------------------------------------
#leere die Ordner (nicht die Ordner selbst loeschen)
C:\WINDOWS\Temp\
C:\Temp\
C:\Documents and Settings\username\Local Settings\Temp\

#und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

#gehe wieder in den Normalmodus

#ClaerProg..lade die neuste Version <1.4.0 Final
http://www.clearprog.de/downloads.php
<und saeubere den Browser.
Das Programm löscht die Surfspuren des Internet Explorers ab Version 5.0, des Netscape/Mozilla und des Opera:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)
- die eingetragenen URLs

- Autovervollständigen-Einträge in Web-Formularen des IE (bisher
nur Win9x/ME)
- Download-Listen des Netscape/Opera

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
waehrend des Scanvorganges müssen ALLE sonstige
Anwendungen beendet werden und alle Browserfenster müssen
geschlossen sein!

#Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

#mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten ;)

#zusammen mit dem neuen Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 27.12.2004 um 23:42 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: