Microsoft Internet Explorer startet automatisch bei jedem Hochfahren

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.08.2006, 23:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#16 ueberpruefe mit Jotti und mit virustotal

C:\Programme\Internet Explorer\win32hp.dat

27.07.2006 18:06 <DIR> .
27.07.2006 18:06 <DIR> ..
27.07.2006 17:53 <DIR> Connection Wizard
04.08.2004 00:57 38.912 hmmapi.dll
29.08.2002 09:32 14.336 iedetect.dll
04.08.2004 00:57 18.432 iedw.exe
24.03.2004 22:19 38.792 iesetup.cif
04.08.2004 00:57 93.184 iexplore.exe
12.07.2006 15:37 <DIR> PLUGINS
12.07.2006 14:20 <DIR> SIGNUP
12.07.2006 14:19 <DIR> W2K
15.07.2006 12:14 43.600 win32hp.dat -> das scheint der Uebeltaeter zu sein...sagt mir mein kleiner Finger ;)

klicke mal drauf -> rechtsklick !!!-> oeffnen mit dem Editor und kopiere ab, was erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 10:13
Member

Themenstarter

Beiträge: 12
#17 Tja,
Jotti und virustotal melden beide, Status ok, keine Viren gefunden.

Hier der Text der erscheint, wenn ich die Datei mit dem Editor öffne. Ich hoffe, dass ich das richtig verstanden habe...

#
[version]
23
[kwdlimit]
5
[selimit]
65
[tblslimit]
30
[domains]
"homepeople.info"
#,"hotwebfinder.com", "search404.com", "mywebseek.com", "hotwebseek.com", "fastwebseek.com"
#
[fkddomains]
"fonefinder.net", "mactrainers.com", "shopperguide.net", "thesushibar.com", "bestway.com", "digitalselect.net", "dsli.com", "sonic.net", "waveii.com", "primusdsl.net", "webseek.com", "bestway.com", "hotoffers.com", "subjectfinder.com", "lincmad.com", "askbrown.com", "fastsearch.com", "bigportal.com", "webstuff.com", "dinercity.com", "draac.com", "activejump.com", "bizcom.com", "opstar.com", "lostparadise.com", "ghvd.com", "toskala.com", "forfun.com"
#
[sedoamins]
".google.", ".msn.", ".looksmart.", ".yahoo.", ".altavista.", "dmoz.org", "hotbot.com", "wisenut.com", ".aol.", "a9.com", "clusty.com", "gigablast.com", ".teoma.", ".lycos.", "about:", "es:"

edit

Na ja, ich hoffe, es hilft was...??
Seitenanfang Seitenende
15.08.2006, 13:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#18 toll, wenn man sich mal so eine Datei anschauen kann....was da alles fuer ein Dreck drin ist... ;)

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\win32hp

Files to delete:

C:\Programme\Internet Explorer\win32hp.dat
C:\WINDOWS\System32\win32hlp.exe
C:\WINDOWS\System32\win32hp.dll
C:\Dokumente und Einstellungen\Ich\Desktop\PUTTY.EXE
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint !

2.
Hoster.zip
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.

3.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

4.
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 17:32
Member

Themenstarter

Beiträge: 12
#19 zu 1:
habe putty rausgenommen, da das die zugangssoftware ist, über die ich in der uni mit dem server verbunden werde. Habe außerdem zuerst nur den registrierungseintrag löschen lassen, das hat er dann auch gemacht. Danach sollten dann die dateien gelöscht werden. da gabs probleme...

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: could not create zip file.
Error code: 0


//////////////////////////////////////////


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\jyhjjpmb

*******************

Script file located at: \??\C:\WINDOWS\awghiskx.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\Programme\Internet Explorer\win32hp.dat deleted successfully.


File C:\WINDOWS\System32\win32hlp.exe not found!
Deletion of file C:\WINDOWS\System32\win32hlp.exe failed!

Could not process line:
C:\WINDOWS\System32\win32hlp.exe
Status: 0xc0000034



File C:\WINDOWS\System32\win32hp.dll not found!
Deletion of file C:\WINDOWS\System32\win32hp.dll failed!

Could not process line:
C:\WINDOWS\System32\win32hp.dll
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.//////////////////////////////////////////


zu 2 + 3:
erledigt!

zu 4:
konnte nicht installiert werden, da einige komponenten des ie fehlen oder beschädigt sind...
Seitenanfang Seitenende
15.08.2006, 17:47
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#20 sorry mit der putty.exe ;)

poste das neue Log vom HijacktHis und berichte auch, wie alles funktioniert.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.08.2006, 19:20
Member

Themenstarter

Beiträge: 12
#21 Das Ding ist hartnäckig. Leider alles beim alten.

Hier das neue logfile

Logfile of HijackThis v1.99.1
Scan saved at 19:20:00, on 15.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Ich\Desktop\PUTTY.EXE
C:\Dokumente und Einstellungen\Ich\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = wwwcache.rrz.uni-hamburg.de:81
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [win32hp] C:\WINDOWS\System32\win32hlp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Gibt es sonst eine Möglichkeit den IE komplett zu deinstallieren? Würde das überhaupt helfen?

Wünsche auf jeden Fall erstmal einen schönen Abend!!
Seitenanfang Seitenende
15.08.2006, 19:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#22 galaxia76

öffne das HijackThis -- Button "scan" -- vor Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [win32hp] C:\WINDOWS\System32\win32hlp.exe

PC neustarten


----------------------------------------------------------------------------------
multiavtool
http://virus-protect.org/multiavtool.html
* klicke "3" - McAfee -- es erscheint ein leeres DOS-Fenster.

bei der Eingabe "3" im MULTIAVTOOL muss eine Internetverbindung vorhanden sein

- man muss eingeben, was gescannt werden soll
- C:\Windows\System32 - dann beginnt der Scan, man sollte dann auch scannen lassen:
- C:\Windows
- C:\

* klicke "6 --> der PC wird neustarten --> suche die 3 Scanreporte in C:\AV-CLS und kopiere sie
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.08.2006, 17:11
Member

Themenstarter

Beiträge: 12
#23 Hallo Sabina,

geschafft!! Es ist endlich weg...

Vielen vielen Dank nochmal für Deine Hilfe!!
Nina
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: