geänderte Startseite bei IE.../SearchAssistant" = "res://shdocpe.dll/asst.ht

#1 ich schmeiß es einfach mal rein...

habe immer so´ne blöde Seite die sich vor meine IE schiebt und kriege sie nicht wech...nerv...

wär schön wenn mir jemand helfen könnte...danke Gruß Kerstin
ogfile of HijackThis v1.99.1
Scan saved at 23:48:17, on 01.06.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\System32\SCardSvr.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\msdtc.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\NETSUP~1\client32.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\System32\llssrv.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\System32\mspmspsv.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\system32\Dfssvc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\Explorer.EXE
D:\WINNT\system32\sistray.EXE
D:\Programme\FRITZ!DSL\Awatch.exe
D:\Programme\AVPersonal\AVSched32.EXE
D:\Programme\Winamp\winampa.exe
D:\WINNT\system32\svcnut.exe
D:\Programme\FinePixViewer\QuickDCF.exe
D:\Programme\PDF-XChangeSDKEU\PDFSaver.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\WINNT\explorer.exe
D:\Programme\WinRAR\WinRAR.exe
D:\WINNT\TEMP\Rar$EX00.362\HijackThis.exe
D:\WINNT\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdocpl.dll/blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocpl.dll/asst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/advanced_search?hl=de
F2 - REG:system.ini: UserInit=D:\WINNT\system32\userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6EA8BD7D-195A-B17F-DA8B-7FBCA4B55BB1} - D:\WINNT\system32\ieud32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiS Tray] D:\WINNT\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] D:\WINNT\System32\khooker.exe
O4 - HKLM\..\Run: [AWatch] "D:\Programme\FRITZ!DSL\Awatch.exe"
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [FastStart] D:\WINNT\system32\svcnut.exe home
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Exif Launcher.lnk = D:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PDF-Capture.lnk = D:\Programme\PDF-XChangeSDKEU\PDFSaver.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA42092E-C454-4CE8-9167-5C07114BA543}: NameServer = 195.20.22.234,194.25.2.129
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Client32 - Productive Computer Insight Ltd - D:\PROGRA~1\NETSUP~1\client32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe

#2 nini0367

Gehe in die Registry

Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

mit rechtsklick loeschen.

"url1" = "[Web site on the lolitasex-x.com domain]"
"url2" = "[Web site on the hardcore-sex-movies.com domain]"


Loesche: "Compatibility Flags" = "0x00000400" unter diesen Schluesseln:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000566-0000-0010-8000-00AA006D2EA4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{00000535-0000-0010-8000-00AA006D2EA4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{13709620-C279-11CE-A49E-444553540000}

bearbeiten --> suchen-->shdocpe.dll

loesche alle Eintraege
z.B:
"SearchAssistant" = "res://shdocpe.dll/asst.htm"
Main,Start Page = res://shdocpl.dll/blank.htm


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://shdocpl.dll/blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://shdocpl.dll/asst.htm
O2 - BHO: (no name) - {6EA8BD7D-195A-B17F-DA8B-7FBCA4B55BB1} - D:\WINNT\system32\ieud32.dll ( infected by Trojan-Downloader.Win32.Agent.bc)
O4 - HKLM\..\Run: [FastStart] D:\WINNT\system32\svcnut.exe home
(Browser hijacker - a variant of the STARTPAGE.L TROJAN!)

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

D:\WINNT\system32\shdocpl.dll
D:\WINNT\system32\ieud32.dll
D:\WINNT\system32\ntnut32.exe
D:\WINNT\system32\svcnut.exe

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html



Falls die url nach dem Scannen mit CCleaner noch da sind.
Creates the following shortcuts in the Favorites folder of Internet Explorer:

D:\Dokumente und Einstellungen\User\Favoriten

loeschen:

* ADULT STORE (a folder containing 10 shortcuts)
* Adult Super Store
* Arabic Girls Exposed
* Free Adult Personals
* Free Desktop Strippers
* Here Is Something For Everybody
* Horny Housewives
* Nasty Mature Women
* Your Online Privacy Is Under Attack!

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein


mache einen Onlinescan mit panda+McAfee FreeScan (Online)+ berichte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina...

erstmal tausend DANK...
die Seite kommt nicht wieder...Spy is wech...hoffe ich..:-)

hab nochmal mit panda und McAfee durchgecheckt, dabei ist noch eine Sache aufgetaucht und zwar...

D:\WINNT\system32\hun32.dll

muß ich wohl auch noch löschen oder??...
sagst mir bitte wie am besten und sichersten??..

Danke nochmal und noch eins....du hast meine totale Bewunderung...!!!!!

LG Kerstin

#4 Hallo@nini0367

loesche das mit der Killbox:

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

reinkopieren.

D:\WINNT\system32\hun32.dll

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "yes"

PC neustarten
--------------------------------------------------------------------

Tip:
#Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html


alles Gute fuer dich + PC
__________
MfG Sabina

rund um die PC-Sicherheit