Startseite ändert sich automatisch |
||
---|---|---|
#0
| ||
20.01.2004, 00:17
Member
Beiträge: 17 |
||
|
||
20.01.2004, 00:32
Member
Beiträge: 54 |
#2
Fixe folgende Einträge und lass mal obligatorisch Adaware und Spybot drüber laufen (Updates nicht vergessen):
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://my.search/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my.search/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://my.search/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.search/hp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de O1 - Hosts: 64.237.53.4 ad.doubleclick.net O1 - Hosts: 64.237.53.4 aff.weatherbug.com O1 - Hosts: 209.87.155.230 date.com O1 - Hosts: 64.237.53.4 doubleclick.net O1 - Hosts: 64.237.53.4 my.search __________ (-- Rokop --) www.rokop-security.de |
|
|
||
20.01.2004, 00:55
Member
Themenstarter Beiträge: 17 |
#3
Hi,
habe ich probiert, hat aber nichts geholfen. Ich habe eine winrar.exe datei in WINNT gefunden, die sich von alleine startet. Wie kriege ich diesen Virus wieder los?! Andi |
|
|
||
20.01.2004, 01:00
Member
Beiträge: 54 |
#4
Schick die mal bitte her : virus@protecus.de
Edit: Hatte ich zuerst überlesen (schäm), ist wieder ein HiJacker ! Also weg damit. __________ (-- Rokop --) www.rokop-security.de Dieser Beitrag wurde am 20.01.2004 um 01:20 Uhr von Rokop editiert.
|
|
|
||
20.01.2004, 05:53
Moderator
Beiträge: 7805 |
#5
Diese beiden muessen noch raus:
O4 - HKCU\..\Run: [quicken] C:\WINNT\waol.exe O4 - HKCU\..\Run: [editpad] C:\WINNT\editpad.exe Bitte loesche die Winrar.exe nicht, bevor Rokop gesagt hat, was es ist. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
20.01.2004, 09:18
Member
Beiträge: 54 |
#6
Es ist ein Browser HiJacker, Kaspersky wird es mit dem nächsten Update als TrojanDownloader.Win32.Small.dd. erkennen.
__________ (-- Rokop --) www.rokop-security.de |
|
|
||
20.01.2004, 09:45
Member
Themenstarter Beiträge: 17 |
#7
Zitat Rokop posteteWas ist Kaspersky?? Was ist WIn32.Small.dd. Muss ich noch ein anderes Programm laufen lassen?: Hallo, ich habe heute früh mal die zwei zusätzlichen zeilen mit hijacker gefixt (ich hoffe das heisst, dass ich die anklicke und dann fix checked oder so anklicke), habe dann adaware und spybot laufen lassen, dann die unliebsamen favoriten entfernt und auch die .exe datei entfernt. es scheint jetzt zu laufen, aber ich hatte noch keine Zeit, hier noch einmal neu zu starten und zu sehen, was passiert. Noch irgendwas zu tun, außer sich ein Norton Anti Virus zuzulegen? Andy |
|
|
||
20.01.2004, 10:55
Member
Beiträge: 54 |
#8
Nein, kein Norton Anti Virus! Gerade bei solcher Art von Malware ist Norton nicht wirklich empfehlenswert. Kauf Dir Kaspersky Anti Virus oder irgend etwas auf dessen Basis wie AVK oder F-Secure.
Kaspersky: www.avp.ch , www.kaspersky.com/de AntiViren Kit (AVK) : www.gdata.de F-Secure: www.f-secure.de __________ (-- Rokop --) www.rokop-security.de |
|
|
||
25.01.2004, 16:49
...neu hier
Beiträge: 1 |
#9
Hallo liebe Forenteilnehmer,
ich habe mir den Beitrag genau durchgelesen und habe das gleiche Problem. Allerdings ging es bei mir nicht zu beheben. Nach dem Fixen dauert es einen Moment und die Startseite lädt sich automatisch mit dem entsprechenden Verlauf wieder rein. Kann mir einer helfen und sagen, was ich genau fixen muss? Vielen Dank!! Peter Hier kommt mein Log: Logfile of HijackThis v1.97.7 Scan saved at 16:51:14, on 25.01.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Analog Devices\SoundMAX\Smtray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Microsoft Money\System\reminder.exe C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe C:\Programme\Siemens Data Suite SX1\SDS\SPhoneObserver.exe C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SYMBIA~1.EXE C:\PROGRA~1\Symbian\Shared\SYMBIA~1\SCBAL.exe C:\Lavasoft Ad-aware\Ad-watch.exe C:\PROGRA~1\MICROS~2\Office\OUTLOOK.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Peter C\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://my.search/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my.search/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://my.search/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://my.search/sp.php O1 - Hosts: 64.237.53.4 ad.doubleclick.net O1 - Hosts: 64.237.53.4 aff.weatherbug.com O1 - Hosts: 209.87.155.230 date.com O1 - Hosts: 64.237.53.4 doubleclick.net O1 - Hosts: 64.237.53.4 my.search O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [mRouterConfig for Siemens Data Suite SX1] C:\Programme\Intuwave\Shared\mRouterRunTime\mRouterConfig.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [quicken] C:\WINDOWS\quicken.exe O4 - HKCU\..\Run: [editpad] C:\WINDOWS\editpad.exe O4 - Startup: Registration-Studio 8 SE.lnk = C:\Programme\Pinnacle\Studio 8\Register\RegTool.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: SDSScheduler.lnk = C:\Programme\Siemens Data Suite SX1\SDS\SDSScheduler.exe O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/16bd62d8b5f1958d7514/netzip/RdxIE601_de.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37988.1761458333 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{7C0F07A8-7C44-40AF-A0EE-A193A238A6B6}: NameServer = 217.5.112.145 194.25.2.129 |
|
|
||
25.01.2004, 17:02
Moderator
Beiträge: 7805 |
#10
Nimm mal CWsshredder dafuer: http://merijn.org/cwschronicles.html#cwshredder
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.02.2004, 17:16
...neu hier
Beiträge: 1 |
#11
hab ein ähnliches problem mit secure.html:
Logfile of HijackThis v1.97.7 Scan saved at 17:07:55, on 04.02.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\mcshield.exe C:\Programme\Network Associates\VirusScan\vstskmgr.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Programme\FreePDF\FreePDFA.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Gemeinsame Dateien\Roxio Shared\Project Selector\projselector.exe C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\WINNT\reg32.exe C:\WINNT\System\webcheck.exe C:\Programme\FinePixViewer\QuickDCF.exe O:\1_Daten_P+W\13_Läubli_Bruno_Privat\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://zfrlzp.t.muxa.cc/s.php?aid=420 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/ O2 - BHO: Clear Search - {00000000-0000-0000-0000-000000000240} - C:\Programme\ClearSearch\IE_ClrSch.DLL (file missing) O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - C:\Programme\UCmore\UCMIE.dll (file missing) O3 - Toolbar: UCmore Toolbar - {53CBEE82-D747-11d3-9ED0-005004189684} - C:\Programme\UCmore\UCMIE.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [anvshell] anvshell.exe O4 - HKLM\..\Run: [HP Lamp] "C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hplamp.exe" O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [Tapicfg.exe] \tapicfg.exe O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [Soundmx] \soundmx.exe O4 - HKLM\..\Run: [projselector] "C:\Programme\Gemeinsame Dateien\Roxio Shared\Project Selector\projselector.exe" -r O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Programme\Gemeinsame Dateien\Roxio Shared\System\EngUtil.exe" O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe" O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Hot_ch] C:\Program Files\GMSoft\Dialers\Hot_ch\Hot_ch.exe /dontdial O4 - HKLM\..\Run: [Reg32] C:\WINNT\reg32.exe O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\jbest00000\23542484.exe -remove O4 - HKCU\..\Run: [System Update] C:\WINNT\System\webcheck.exe O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren (HKLM) O13 - WWW. Prefix: http://ehttp.cc/? O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = chprewa.ads O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = chprewa.ads O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = chprewa.ads herzlichen dank für die hilfe!! hens |
|
|
||
04.02.2004, 17:27
Moderator
Beiträge: 7805 |
#12
"Fix" mal folgendes:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://zfrlzp.t.muxa.cc/s.php?aid=420 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINNT\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINNT\secure.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\secure.html R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/ O2 - BHO: Clear Search - {00000000-0000-0000-0000-000000000240} - C:\Programme\ClearSearch\IE_ClrSch.DLL (file missing) O2 - BHO: NavErrRedir Class - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file) O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - C:\Programme\UCmore\UCMIE.dll (file missing) O3 - Toolbar: UCmore Toolbar - {53CBEE82-D747-11d3-9ED0-005004189684} - C:\Programme\UCmore\UCMIE.dll (file missing) O4 - HKLM\..\Run: [Tapicfg.exe] \tapicfg.exe O4 - HKLM\..\Run: [Soundmx] \soundmx.exe O4 - HKLM\..\Run: [Hot_ch] C:\Program Files\GMSoft\Dialers\Hot_ch\Hot_ch.exe /dontdial O4 - HKLM\..\Run: [Reg32] C:\WINNT\reg32.exe O4 - HKCU\..\Run: [sws.exe] c:\programme\GlobalDialer\jbest00000\23542484.exe -remove O4 - HKCU\..\Run: [System Update] C:\WINNT\System\webcheck.exe O13 - WWW. Prefix: http://ehttp.cc/? O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = chprewa.ads O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = chprewa.ads O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = chprewa.ads Vorher bitte alle Browserfenster schliessen und Hijackthis in einen Extra Ordner verschieben/kopieren. Danach bitte mal hier durcharbeiten: http://board.protecus.de/t9373.htm&mode=thread&order=0 __________ MfG Ralf SEO-Spam Hunter |
|
|
||
06.02.2004, 07:24
Member
Themenstarter Beiträge: 17 |
#13
Hallo,
seit kurzem habe ich eine andere Seite: http://%69%6e%2e%77%65%62%63%6f%75%6e%74%65%72%2e%63%63/%2d/?%6e%65%77%6c%78 about:blank unten die Logfile. Welche Datei ist es denn diesmal? Besten Danke, Logfile of HijackThis v1.97.7 Scan saved at 07:18:45, on 06.02.2004 Platform: Windows 2000 (WinNT 5.00.2195) MSIE: Internet Explorer v5.00 (5.00.2920.0000) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.exe C:\WINNT\System32\internat.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Wireless\Wireless Adapter Utility\wautil.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\soybot\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://in.webcounter.cc/--/?newlx (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://in.webcounter.cc/---/?newlx (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?newlx (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?newlx about:blank (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://in.webcounter.cc/-/?newlx (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?newlx (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?newlx (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?newlx (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://in.webcounter.cc/-/?newlx about:blank (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://in.webcounter.cc/--/?newlx (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://in.webcounter.cc/--/?newlx (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://in.webcounter.cc/--/?newlx (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://in.webcounter.cc/---/?newlx (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?newlx (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?newlx (obfuscated) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Soundmx] \soundmx.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - Startup: Wireless Adapter Utility.lnk = C:\Programme\Wireless\Wireless Adapter Utility\wautil.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O19 - User stylesheet: C:\WINNT\Web\tips.ini O19 - User stylesheet: C:\WINNT\hh.htt (HKLM) |
|
|
||
06.02.2004, 08:23
Moderator
Beiträge: 7805 |
#14
Lies dich hier mal durch:
http://board.protecus.de/t9373.htm besoners CWshredder und die Sache mit dem Windowsupdate! Sonst kommt CWS immer wieder. __________ MfG Ralf SEO-Spam Hunter |
|
|
||
04.05.2004, 17:06
...neu hier
Beiträge: 6 |
#15
Also ich habe mein Problem mit dieser "Startseite ändert sich" gelöst. Das mit HijackThis und CWS hat funktioniert....
Nun habe ich eine andere Frage, welche Ports sollte man schliessen damit ein Rechner sicherer wird? |
|
|
||
mein Internetanschluss geht bei jedem Starten auf
http://my.search/hp.php
als Startseite und hat in den Favoriten irgendwelche seiten, die ich nicht kenne.
Adaware und spybot haben nicht geholfen. Was kann ich tun.
Habe Windows 2000...
anbei auch der logfile von Hijack...:
Danke
Logfile of HijackThis v1.97.7
Scan saved at 00:13:43, on 20.01.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\internat.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\klickTel\klickTel Oktober 2000\kstart32.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Wireless\Wireless Adapter Utility\wautil.exe
C:\WINNT\winrar.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://my.search/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://my.search/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://my.search/sp.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.search/hp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de
O1 - Hosts: 64.237.53.4 ad.doubleclick.net
O1 - Hosts: 64.237.53.4 aff.weatherbug.com
O1 - Hosts: 209.87.155.230 date.com
O1 - Hosts: 64.237.53.4 doubleclick.net
O1 - Hosts: 64.237.53.4 my.search
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [quicken] C:\WINNT\waol.exe
O4 - HKCU\..\Run: [editpad] C:\WINNT\editpad.exe
O4 - Startup: Wireless Adapter Utility.lnk = C:\Programme\Wireless\Wireless Adapter Utility\wautil.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: klickTel Oktober 2000 - Schnellstarter - 32-Bit.lnk = C:\Programme\klickTel\klickTel Oktober 2000\kstart32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab