Home » Spyware & Browser Hijacker Support Forum » Startseite im IE verändert sich permanent selbst » Themenansicht
Startseite im IE verändert sich permanent selbst |
||
|---|---|---|
| #0
| ||
|
26.04.2004, 14:59
Ehrenmitglied
 Beiträge: 29434 |
||
 
|
|
|
|
26.04.2004, 15:03
Moderator
Beiträge: 7805 |
#77
Versuchen wir es mal wie hier beschrieben: http://www.computercops.biz/postt36043.html
Also nutze mal Regedit und navigiere zu diesem Eintrag: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Welcher wert/Dateiname ist dort bei "AppInit_DLLs" (auf der rechten seite) angegeben? Bitte den gesammten Dateinamen incl. Ordnernamen posten. __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 26.04.2004 um 15:05 Uhr von raman editiert.
|
|
|
|
|
|
|
05.05.2004, 12:53
...neu hier
Beiträge: 5 |
#78
Hallo an alle.
Wie ich sehe gibt es hier viele mit mehr oder minder den gleichen Problemen. Bisher war mein System immer sauber. Naja, nach dem neuestem Update von Ad-aware habe ich nun auch nen "seltsamen" Eintrag in der Reg :-( Mit dem Programm HijackThis bin ich noch nicht vertraut. Kann mir jemand anhand der Daten weiter unten eine kurze Anleitung geben, wie ich mit was fortfahren muss? Kann sonst nicht mehr ruhig schlafen *uebertreib*. Gerne auch per Mail / cresu@freenet.de Danke vorab und problemfeises Weitersurfen, Dago. Logfile of HijackThis v1.97.7 Scan saved at 12:48:28, on 05.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Winamp\winamp.exe C:\Programme\Soulseek\slsk.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Internet Explorer\iexplore.exe E:\Spiele+Anwendungen\HijackThis\HijackThis.exe O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Corel Graphics Suite 1117] C:\Programme\Corel\Corel Graphics 11\Register\registration.exe /title="Corel Graphics Suite 11" /date=051604 Ser*hier nicht!*=DR11CRD-0012082-DGW O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/swdir.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38022.4603472222 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0474E802-7C84-411D-80E3-2C58A88DF51C}: NameServer = 217.237.150.33 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{0474E802-7C84-411D-80E3-2C58A88DF51C}: NameServer = 217.237.150.33 194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{0474E802-7C84-411D-80E3-2C58A88DF51C}: NameServer = 212.185.251.41 194.25.2.129 __________ www.JokeLetter4U.de.vu |
|
|
|
|
|
|
05.05.2004, 13:19
Member
Beiträge: 1095 |
#79
Hi
Dein Logfile sieht eigentlich sauber aus. Ich nehme an du hast Ad-Aware gerade laufenlassen Mach mal einen Neustart und schau das log nochmal durch ob sich was geändert hat. Und sag uns welche Startseite den bei dir auftaucht + Was den AdAware gelsöcht hat Hier die Erklärung für HiJackThis Einträge http://www.trojaner-info.de/anleitungen/hijackthis/htlogtutorial.html Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 05.05.2004 um 13:23 Uhr von paff editiert.
|
|
|
|
|
|
|
05.05.2004, 13:48
...neu hier
Beiträge: 5 |
#80
Danke @Paff.
Waere nett, wenn es um meinen "Fall" geht ein @Dago davor zu setzen. Nur so am Rande, soll kein vorwurf sein. hier mal das, was ich auf die Schnelle machen konnte. Hoffe, es sind die verlangten Daten. Starte erweiterte Registrierungsprüfung ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Möglicher Browser-Hijack Versuch : Software\Microsoft\Internet Explorer\MainStart Pageabout:blank Possible Browser Hijack attempt Objekt identifiziert! Typ : Reg.Daten Daten : "about:blank" Rootkey : HKEY_CURRENT_USER Objekt : Software\Microsoft\Internet Explorer\Main Wert : Start Page Daten : "about:blank" Ergebnis der erweiterten Registrierungsprüfung: ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ Neue Objekte: 1 Objekte insgesamt bis jetzt identifiziert 1 Lande hier nach dem Entfernen: http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home Klicke ich die Startseite wieder auf blank dann findet Ad-Aware auch wieder den Eintrag. __________ www.JokeLetter4U.de.vu |
|
|
|
|
|
|
05.05.2004, 14:25
Member
Beiträge: 1095 |
#81
Hi Dago_Dark (So schreib ich's immer, Bei Post vorher leider den Namen vergessen
 )Poste mal bitte, was in der Registry unter Rootkey : HKEY_CURRENT_USER Objekt : Software\Microsoft\Internet Explorer\Main Rootkey : HKEY_LOCAL_MACHINE Objekt : Software\Microsoft\Internet Explorer\Main steht. __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
05.05.2004, 14:39
...neu hier
Beiträge: 5 |
#82
Hallo @Paff.
Wie komme ich an die Infos ran? Habe es jetzt ueber den RegCleaner versucht. Das hier gefunden. HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\App Paths\cmmgr32.exe, {KEY}, {KEY}, nicht verfügbar HKEY_LOCAL_MACHINE, Software\Microsoft\Windows\CurrentVersion\App Paths\yourapp.Exe, {KEY}, {KEY}, nicht verfügbar Mit USER habe ich nichts gefunden. Danke, Dago __________ www.JokeLetter4U.de.vu |
|
|
|
|
|
|
05.05.2004, 14:57
Member
Beiträge: 1095 |
#83
@dago_dark
Einfach "regedit" in Start/Ausf?hren angeben und zum Schl?ssel vorarbeiten: Dann den jeweiligen Schl?ssel markieren und im Menu Registrung/Registrierungsdatei exportieren. Dateinamen w?hlen Dann rechtsklick auf Datei und Bearbeiten Text hier reinkopieren Gru? paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
|
|
|
|
05.05.2004, 15:15
...neu hier
Beiträge: 5 |
#84
Hallo nochmals @Paff.
Das hier? ist etwas sehr lang?! Gruesse, Dago. Schlüsselname: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 05.05.2004 - 15:06 Wert 0 Name: NoUpdateCheck Typ: REG_DWORD Daten: 0x1 Wert 1 Name: NoJITSetup Typ: REG_DWORD Daten: 0x0 Wert 2 Name: Disable Script Debugger Typ: REG_SZ Daten: yes Wert 3 Name: Show_ChannelBand Typ: REG_SZ Daten: No Wert 4 Name: Anchor Underline Typ: REG_SZ Daten: yes Wert 5 Name: Cache_Update_Frequency Typ: REG_SZ Daten: Once_Per_Session Wert 6 Name: Display Inline Images Typ: REG_SZ Daten: yes Wert 7 Name: Do404Search Typ: REG_BINARY Daten: 00000000 01 00 00 00 .... Wert 8 Name: Local Page Typ: REG_SZ Daten: C:\WINDOWS\System32\blank.htm Wert 9 Name: Save_Session_History_On_Exit Typ: REG_SZ Daten: no Wert 10 Name: Show_FullURL Typ: REG_SZ Daten: no Wert 11 Name: Show_StatusBar Typ: REG_SZ Daten: yes Wert 12 Name: Show_ToolBar Typ: REG_SZ Daten: yes Wert 13 Name: Show_URLinStatusBar Typ: REG_SZ Daten: yes Wert 14 Name: Show_URLToolBar Typ: REG_SZ Daten: yes Wert 15 Name: Start Page Typ: REG_SZ Daten: about:blank Wert 16 Name: Use_DlgBox_Colors Typ: REG_SZ Daten: yes Wert 17 Name: Search Page Typ: REG_SZ Daten: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Wert 18 Name: FullScreen Typ: REG_SZ Daten: no Wert 19 Name: Window_Placement Typ: REG_BINARY Daten: 00000000 2c 00 00 00 02 00 00 00 - 03 00 00 00 ff ff ff ff ,...........˙˙˙˙ 00000010 ff ff ff ff ff ff ff ff - ff ff ff ff 05 01 00 00 ˙˙˙˙˙˙˙˙˙˙˙˙.... 00000020 05 01 00 00 5d 03 00 00 - 99 02 00 00 ....]....... Wert 20 Name: AddToFavoritesExpanded Typ: REG_DWORD Daten: 0x1 Wert 21 Name: NotifyDownloadComplete Typ: REG_SZ Daten: yes Wert 22 Name: FormSuggest PW Ask Typ: REG_SZ Daten: no Wert 23 Name: Use FormSuggest Typ: REG_SZ Daten: yes Wert 24 Name: Error Dlg Displayed On Every Error Typ: REG_SZ Daten: no Wert 25 Name: Error Dlg Details Pane Open Typ: REG_SZ Daten: no Wert 26 Name: Force Offscreen Composition Typ: REG_DWORD Daten: 0x0 Wert 27 Name: Enable Browser Extensions Typ: REG_SZ Daten: yes Wert 28 Name: ShowGoButton Typ: REG_SZ Daten: yes Wert 29 Name: NoWebJITSetup Typ: REG_DWORD Daten: 0x0 Wert 30 Name: Friendly http errors Typ: REG_SZ Daten: yes Wert 31 Name: FavIntelliMenus Typ: REG_SZ Daten: no Wert 32 Name: NscSingleExpand Typ: REG_DWORD Daten: 0x1 Wert 33 Name: SmoothScroll Typ: REG_DWORD Daten: 0x1 Wert 34 Name: Page_Transitions Typ: REG_DWORD Daten: 0x1 Wert 35 Name: AllowWindowReuse Typ: REG_DWORD Daten: 0x1 Wert 36 Name: UseThemes Typ: REG_DWORD Daten: 0x1 Wert 37 Name: Print_Background Typ: REG_SZ Daten: no Wert 38 Name: Expand Alt Text Typ: REG_SZ Daten: no Wert 39 Name: Move System Caret Typ: REG_SZ Daten: no Wert 40 Name: Play_Animations Typ: REG_SZ Daten: yes Wert 41 Name: Enable AutoImageResize Typ: REG_SZ Daten: yes Wert 42 Name: Enable_MyPics_Hoverbar Typ: REG_SZ Daten: yes Wert 43 Name: Show image placeholders Typ: REG_DWORD Daten: 0x0 Wert 44 Name: Play_Background_Sounds Typ: REG_SZ Daten: yes Wert 45 Name: Display Inline Videos Typ: REG_SZ Daten: yes Wert 46 Name: AutoSearch Typ: REG_DWORD Daten: 0x5 Wert 47 Name: LastCheckedHi Typ: REG_DWORD Daten: 0x1c3fef9 Wert 48 Name: HistoryViewType Typ: REG_BINARY Daten: 00000000 00 00 .. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 05.02.2004 - 20:13 Wert 0 Name: Default_Page_URL Typ: REG_SZ Daten: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Wert 1 Name: Default_Search_URL Typ: REG_SZ Daten: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Wert 2 Name: Search Page Typ: REG_SZ Daten: http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Wert 3 Name: Enable_Disk_Cache Typ: REG_SZ Daten: yes Wert 4 Name: Cache_Percent_of_Disk Typ: REG_BINARY Daten: 00000000 0a 00 00 00 .... Wert 5 Name: Delete_Temp_Files_On_Exit Typ: REG_SZ Daten: yes Wert 6 Name: Local Page Typ: REG_EXPAND_SZ Daten: %SystemRoot%\system32\blank.htm Wert 7 Name: Anchor_Visitation_Horizon Typ: REG_BINARY Daten: 00000000 01 00 00 00 .... Wert 8 Name: Use_Async_DNS Typ: REG_SZ Daten: yes Wert 9 Name: Placeholder_Width Typ: REG_BINARY Daten: 00000000 1a 00 00 00 .... Wert 10 Name: Placeholder_Height Typ: REG_BINARY Daten: 00000000 1a 00 00 00 .... Wert 11 Name: Start Page Typ: REG_SZ Daten: http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home Wert 12 Name: CompanyName Typ: REG_SZ Daten: Microsoft Corporation Wert 13 Name: Custom_Key Typ: REG_SZ Daten: MICROSO Wert 14 Name: Wizard_Version Typ: REG_SZ Daten: 6.0.2600.0000 Wert 15 Name: FullScreen Typ: REG_SZ Daten: no Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\ErrorThresholds Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 05.02.2004 - 20:05 Wert 0 Name: 400 Typ: REG_DWORD Daten: 0x200 Wert 1 Name: 403 Typ: REG_DWORD Daten: 0x100 Wert 2 Name: 404 Typ: REG_DWORD Daten: 0x200 Wert 3 Name: 405 Typ: REG_DWORD Daten: 0x100 Wert 4 Name: 406 Typ: REG_DWORD Daten: 0x200 Wert 5 Name: 408 Typ: REG_DWORD Daten: 0x200 Wert 6 Name: 409 Typ: REG_DWORD Daten: 0x200 Wert 7 Name: 410 Typ: REG_DWORD Daten: 0x100 Wert 8 Name: 500 Typ: REG_DWORD Daten: 0x200 Wert 9 Name: 501 Typ: REG_DWORD Daten: 0x200 Wert 10 Name: 505 Typ: REG_DWORD Daten: 0x200 Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\UrlTemplate Klassenname: <KEINE KLASSE> Letzter Schreibzugriff: 05.02.2004 - 20:05 Wert 0 Name: 1 Typ: REG_SZ Daten: www.%s.com Wert 1 Name: 2 Typ: REG_SZ Daten: www.%s.org Wert 2 Name: 3 Typ: REG_SZ Daten: www.%s.net Wert 3 Name: 4 Typ: REG_SZ Daten: www.%s.edu __________ www.JokeLetter4U.de.vu |
|
|
|
|
|
|
05.05.2004, 22:23
...neu hier
Beiträge: 1 |
#85
Zitat LAJU postete |
|
|
|
|
|
|
06.05.2004, 12:56
Ehrenmitglied
Beiträge: 29434 |
#86
Zitat sengi posteteLade im Forum den HijackThis , scanne, kopiere es mit der Maus und dann ins Forum. So koennen wir helfen. http://board.protecus.de/t9391.htm MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 06.05.2004 um 12:56 Uhr von Sabina editiert.
|
|
|
|
|
|
|
06.05.2004, 13:10
Member
Beiträge: 1095 |
#87
Zitat Dago_Dark postete@Dago_dark Ich glaube wir machen uns bei dir zuviel Sorgen. Dein Rechner ist clean. Leider meldet Ad-Aware in der neusten Version das Eintragen der about:blank Seite als "Possible HiJacker" Das ist aber Bl?dsinn Dieser Eintrag hier http://www.microsoft.com/isapi/redir.dll?prd=ie&clcid=0x0407&pver=6.0&ar=home Ist einfach der Stardart Eintrag den Windows wenn du den Eintrag l?schst. Ist auch in der Registry vermerkt. Der wird also von AdAware eingetragen. Gru? paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 06.05.2004 um 13:12 Uhr von paff editiert.
|
|
|
|
|
|
|
06.05.2004, 13:51
...neu hier
Beiträge: 5 |
#88
Hallo @Paff.
Das ist aber total bescheuert! Das heisst, dass ich das was ad-aware findet nicht loeschen soll, weil ich sonst ne andere Startseite hab. Wenn ich die Startseite hingegen auf "leer" einstelle, dann findet Ad-Aware was. Meinst die Herrschaften werden das nochmals korrigieren? Mein Fachmann hat heute leider keine Zeit um sich das anzugucken. Aber dafuer Morgen und was mir noch wichtiger ist: GRATIS. Werde aber alles im Auge behalten und evtl Aenderungen oder Ergebnisse hier berichten. Komisch kommt mir das trotzdem alles vor. Danke, Dago. __________ www.JokeLetter4U.de.vu |
|
|
|
|
|
|
11.05.2004, 12:15
...neu hier
Beiträge: 2 |
#89
Hallo zusammen,
wie viele hier habe ich ebenfalls ein Problem mit IE! Hier mein Hijack.log und das Ergebnis vom CWShredder: Logfile of HijackThis v1.97.7 Scan saved at 12:14:49, on 11.05.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\mHotkey.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE C:\Programme\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\System32\Grxp4exe.exe C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\QuickTime\qttask.exe C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe C:\WINDOWS\WindowsUpd4.exe C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe C:\Programme\Gemeinsame Dateien\GMT\GMT.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINDOWS\CNYHKey.exe C:\Programme\0190 Warner\w0svc.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Executive Software\DiskeeperLite\DKService.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Internet Downloads\cwshredder.exe C:\Internet Downloads\HijackThis.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Microsoft Office\Office\OUTLOOK.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.211.105.43/index.php?v=5 O2 - BHO: (no name) - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing) O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: DashBar Toolbar - {CC90CDA0-74A0-45b4-80EF-D89CA8C249B8} - C:\Programme\DashBar\DashBar15.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE O4 - HKLM\..\Run: [CamMonitor] C:\Programme\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Gravis Xperience Driver Support] Grxp4exe.exe /init O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [HydraVisionViewport] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraMD.exe O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\ATI HYDRAVISION\HydraDM.exe O4 - HKLM\..\Run: [WindowsUpd] C:\WINDOWS\WindowsUpd4.exe O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe O4 - Startup: PowerReg Scheduler.exe O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Run DAP (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: Real.com (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O9 - Extra button: MedionShop (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {5D8844F9-1CB8-11D2-A0A0-00600859EB9F} (PatchCtl Class) - file://C:\Spiele\fifa downloads\fifapatch\patchx2.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37884.393599537 O16 - DPF: {DCF0768D-BA7A-101A-B57A-0000C0C3ED5F} - http://209.50.251.84/da1/WindowsUpd1.CAB O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://download.rfwnad.com/cab/crack.CAB O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7A755C29-DD85-4726-922F-2ECF07E93A72}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{CFA2E65A-F75E-42FB-8966-4F1AD001F82B}: NameServer = 194.25.2.129 ---------------------------------------------------------------- Infected Registry value: HKCU\Software\Microsoft\Internet Explorer\Main,Start Page,about:blank Infected data: http://81.211.105.43/index.php?v=5 Found Hosts file: C:\WINDOWS\system32\drivers\etc\hosts (25 bytes, AH) Shell Registry value: HKLM\..\WinLogon [Shell] Explorer.exe UserInit Registry value: HKLM\..\WinLogon [UserInit] C:\WINDOWS\system32\userinit.exe, Registry value: DefaultPrefix (should be http://) [] http:// Registry value: WWW Prefix (should be http://) [www] http:// Registry value: Mosaic Prefix (should be http://) [mosaic] http:// Registry value: Home Prefix (should be http://) [home] http:// Found Win.ini file: C:\WINDOWS\win.ini (748 bytes, A) Found System.ini file: C:\WINDOWS\system.ini (231 bytes, A) ------------------------------------------------------------------------ Was kann ich tun? Danke im vorraus! Stefan |
|
|
|
|
|
|
11.05.2004, 12:29
Moderator
Beiträge: 7805 |
#90
Diese Datei C:\WINDOWS\WindowsUpd4.exe mal hier testen:
http://www.kaspersky.com/scanforvirus wenn das kein Ergebniss bringt, die Datei bitte an virus@protecus.de schicken. Dann mal hier durcharbeiten: http://board.protecus.de/t9373.htm , diesen Virenscanner "organisieren": http://www.mwti.net/antivirus/free_utilities.asp und ein neues Log posten. __________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 11.05.2004 um 15:34 Uhr von raman editiert.
|
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Copyright Š 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Loeschen von NavExt
---------------------
Abgesicherter Modus:
Start<Ausfuehren< regedit
# loeschen: 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ CLSID \ {00110011-4B0B-44D5-9718-90C88817369B}',
# loeschen: 'HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {00110011-4B0B-44D5-9718-90C88817369B}',
# {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2}.....wenn es vorhanden ist
es koennte zu dieser msg.....dll gehoeren
X {1F48AA48-C53A-4E21-85E7-AC7CC6B5FFB2}: ms(+4random letters).dll - CWS related
Booten
Im abgesicherten Modus:
# Mit Suchfunktion finden und loeschen
NavExt.dll
msgcfj.dll
Lade den ClearProg....Browser saeubern
http://www.clearprog.de/
# Start Microsoft Internet Explorer.
# In Internet Explorer, click Tools -> Internet Options.
# Stelle die Startseite neu ein.
Lade den Firefox als Zweitbrowser...ist viel sicherer.
Du musst aber dennoch den IE regelmaessig updaten.
http://firefox.stw.uni-duisburg.de/windows.php
Lade AdAware ...updaten
http://download.com.com/3000-8022-10214379.html?tag=lst-3-8
MfG
Sabina
.
__________
MfG Sabina
rund um die PC-Sicherheit