Rotes X bei TrayIcons, ,Start Page = http://www.specialgoods.info/ad/ad0128/

#0
05.08.2005, 12:01
...neu hier

Beiträge: 3
#1 Hi.

Hab seit neustem so einrotes X bei denTrayicons, kann das auch nicht beenden.
Beim IE ist die Startseite nun http://www.specialgoods.info/ad/ad0128/ und wenn ich die änder, wird die automatisch wieder zurückgesetzt.
Auf dem Desktop sind nun auch nen Haufen Verknüpfungen wie Lesbian Sex usw.

Hijackthis logFile:

Logfile of HijackThis v1.99.1
Scan saved at 10:43:43, on 05.08.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
D:\WINNT\system32\spoolsv.exe
D:\Programme\Norton Personal Firewall\ccPxySvc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\Explorer.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\WINNT\System32\atiptaxx.exe
D:\Palm\HOTSYNC.EXE
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\Programme\Grisoft\AVG Free\avgemc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Programme\Grisoft\AVG Free\avgcc.exe
D:\Programme\Internet Explorer\IEXPLORE.EXE
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\Dokumente und Einstellungen\appel\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0128/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10DC8D3-27F3-4DDF-AC67-C9ECA9705847}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISUM.EXE
Seitenanfang Seitenende
05.08.2005, 13:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo@evo2

Lade: rkfiles.zip
http://bilder.informationsarchiv.net/Nikitas_Tools/rkfiles.zip
-->entpacken-->
gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml
-->Doppelklick(Ausfuehren)-->rkfiles.bat--> warten bis sich
das DOS-Fenster schliesst....auch wenn es lange dauert....--->poste C:\log.txt

DLLCompare
http://downloads.subratam.org/DllCompare.exe
<klick: Locate.com button.
wenn der Scan beendet ist
<klick:Compare button
<klick: und erstelle das Log--->bitte posten
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2005, 19:07
...neu hier

Themenstarter

Beiträge: 3
#3 Hi.

Sorry hat ein wenig länger gedauert, war aber noch im Urlaub ;)

So. hier die Logfiles:

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, THERE MIGHT BE LEGIT FILES LISTED AND PLEASE BE CAREFUL WHILE FIXING. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.
Files Found in system Folder............
------------------------
D:\WINNT\system32\searchdll.dll: UPX!
D:\WINNT\system32\Gsbest32.dll: UPX!

Files Found in all users startup Folder............
------------------------
D:\WINNT\system32\searchdll.dll: UPX!
D:\WINNT\system32\Gsbest32.dll: UPX!
Files Found in all users windows Folder............
------------------------
D:\WINNT\sigldr.exe: UPX!
Finished
bye

und Nummer 2:

* DLLCompare Log version(1.0.0.127)
Files Found that Windows does not See or cannot Access
*Not everything listed here means you are infected!
________________________________________________

O^E says: "There were no files found :)"
________________________________________________

1.029 items found: 1.029 files, 0 directories.
Total of file sizes: 169.601.339 bytes 161,74 M

Administrator Account = True

--------------------End log---------------------
Seitenanfang Seitenende
15.08.2005, 19:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo@evo2

Gehe in die Registry

Start-->Ausfuehren-->regedit

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\SharedTaskScheduler
unter diesem Schluessel loesche folgenden Eintrag:
{D56A1203-1452-EBA1-7294-EE3377770000}
Interlinking Memory Support


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Internet Connection Update and HomeP KB234087\

HKCR\CLSID\{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70}\
HKCR\CLSID\{D56A1203-1452-EBA1-7294-EE3377770000}\
HKCR\Interface\{C7EDAB2D-D7F9-11D8-BA48-C79B0C409D70}\
HKCR\Serch_hook.transURL\
HKCR\Serch_hook.transURL.1\
HKCR\TypeLib\{C7EDAB21-D7F9-11D8-BA48-C79B0C409D70}\


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.specialgoods.info/ad/ad0128/
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

PC neustarten

•KillBox
http://bilder.informationsarchiv.net/Nikitas_Tools/KillBox.zip
Anleitung: (bebildert)
http://virus-protect.org/killbox.html

•Delete File on Reboot <--anhaken

und klicke auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

D:\WINNT\system32\guninst.exe
D:\WINNT\system32\param32.dll
D:\WINNT\system32\searchdll.dll
D:\WINNT\48.exe
D:\WINNT\59.exe
D:\WINNT\sigldr.exe

PC neustarten

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein
+
berichte+ poste das neue Log vom HijackThis ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2005, 16:04
...neu hier

Themenstarter

Beiträge: 3
#5 Hi.

Also erstmal Danke nochmal. Das rote X ist nun weg und ich kann auch wieder eine Startseite einstellen die so bleibt und das laufend ein neues Fenster mit Werbung augeht ist nun auch nicht mehr.

Die Registryeinträge waren nicht vorhanden, die anderen hab ich aber gelöscht.
HKCR\CLSID\{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70}\
HKCR\Interface\{C7EDAB2D-D7F9-11D8-BA48-C79B0C409D70}\
HKCR\Serch_hook.transURL\
HKCR\Serch_hook.transURL.1\
HKCR\TypeLib\{C7EDAB21-D7F9-11D8-BA48-C79B0C409D70}\

Sonst hat alles geklappt, bis auf Webeinstellungen zurücksetzen.
Da kommt immer die Meldung:
Die Webeinstellungen konnten nicht zurückgesetzt werden.

So und nun noch mein aktuelles Hijackthis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:45:26, on 17.08.2005
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)

Running processes:
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
D:\WINNT\system32\spoolsv.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
D:\Programme\Norton Personal Firewall\ccPxySvc.exe
D:\WINNT\System32\svchost.exe
D:\WINNT\system32\regsvc.exe
D:\WINNT\system32\MSTask.exe
D:\WINNT\system32\stisvc.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\Explorer.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\WINNT\System32\atiptaxx.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
D:\Palm\HOTSYNC.EXE
D:\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
D:\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
D:\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\appel\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [ccRegVfy] D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [AVG7_CC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] D:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O4 - Startup: HotSync Manager.lnk = D:\Palm\HOTSYNC.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10DC8D3-27F3-4DDF-AC67-C9ECA9705847}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - D:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - D:\Programme\Norton Personal Firewall\ccPxySvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - Service: Norton Personal Firewall Accounts Manager (NISUM) - Symantec Corporation - D:\Programme\Norton Personal Firewall\NISUM.EXE

Mfg
evo2
Seitenanfang Seitenende