Home » Spyware & Browser Hijacker Support Forum » IE problem , url hat sich als startseite festgelegt » Themenansicht

IE problem , url hat sich als startseite festgelegt
#0
22.02.2004, 11:55
help_acc
...neu hier

Beiträge: 1
#1 also in IE hat sich bei mir ne startseite eingenistet die heist wenn ich auf eigenschaften gehe "http://%66%6A%76%6D%7A%74%2E%74%2E%6D%75%78%61%2E%63%63/%68%2E%70%68%70?%61%69%64=420"

und wenn sie dann im browser gestartet wird heisst die "http://drxcount.biz/index.php?aid=420"

hier is mein log file was muss deleted werden ..pls help


Logfile of HijackThis v1.97.7
Scan saved at 11:57:07, on 22.02.2004
Platform: Windows 2000 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.exe
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINNT\loadqm.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\System\wininet.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fjvmzt.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fjvmzt.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://fjvmzt.t.muxa.cc/h.php?aid=420 (obfuscated)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [LoadQM] loadqm.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKCU\..\Run: [System Update] C:\WINNT\System\wininet.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://D:\Programme\LeechGet 2004\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://D:\Programme\LeechGet 2004\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://D:\Programme\LeechGet 2004\\Parser.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {CFCB7308-782F-11D4-BE27-000102598CE4} (NPX Control) - http://kr.pristontale.com/nprotect/nprotect/npx.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://active.macromedia.com/flash2/cabs/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4EA8BD93-33FA-4600-8ABE-01F4C41B48E6}: NameServer = 217.5.100.1,194.25.2.129
Seitenanfang Seitenende
22.02.2004, 12:27
raman
Moderator

Beiträge: 7805
#2 Das ist Coolwebsearch. Lies dich hier mal durch und befolge die einzelnen Schritte, besonder CWshredder und Windowsupdates:
http://rokop-security.de/main/article.php?sid=703&mode=thread&order=0
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.02.2004, 21:10
Dafra
Member
Avatar Dafra

Beiträge: 1122
#3 C:\WINNT\System\wininet.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fjvmzt.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fjvmzt.t.muxa.cc/h.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://fjvmzt.t.muxa.cc/s.php?aid=420 (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://fjvmzt.t.muxa.cc/h.php?aid=420 (obfuscated)
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKCU\..\Run: [System Update] C:\WINNT\System\wininet.exe
Seitenanfang Seitenende
24.02.2004, 12:01
Semtex
...neu hier

Beiträge: 2
#4 hallo!
wer kann mir helfen! meine ie startseite ist unseriös, ich habe immer unseriöse bookmarks und manchmal sogar auf dem desktop bookmarks! wie bekomm ich das ganz weg ohne neuinstallation, hab antiv, adaware, spybot, cwsshredder ,.. finden auch manchmal sachen, die sind dann aber immer wieder da! höre manchmal auch "ding, din ding" sounds im hintergrund als ob er grade irgendwas installiert:

Logfile of HijackThis v1.97.7
Scan saved at 12:01:57, on 24.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\ctfmon.exe
C:\windows\rundll32.exe
C:\WINDOWS\System\wupdmgr.exe
C:\WINDOWS\System32\devldr32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\mshta.exe
D:\hijackthis1977\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://1-se.com/home.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\homepage.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://1-se.com/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://1-se.com/home.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://1-se.com/srchasst.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://1-se.com/srchasst.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://1-se.com/home.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://1-se.com/srchasst.html (obfuscated)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wupdmgr.exe
O4 - HKCU\..\Run: [ssgrate.exe] C:\WINDOWS\System32\irun4.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E3EF5E-42AF-41CF-AB73-B5F871F25701}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5A92B9C-FA30-46C3-8BDD-9212028D4E77}: NameServer = 192.168.0.1

noch was zu retten?
thx
Seitenanfang Seitenende
24.02.2004, 12:09
raman
Moderator

Beiträge: 7805
#5 Mal fast woertlich aus meinem letztem Posting uebernommen;) :


Wau! Lasse mal CWshredder,Spybot und Adaware die vorarbeiten leisten( in der Reihenfge) Link dazu hier: http://rokop-security.de/main/article.php?sid=703

Poste danach bitte ein neues Log. Du solltest danach nochmal mit einem anderen AV-Programm eine Nachkontrolle machen. Ich gehe mal davon aus, das dein Norton neu(2003-2004) und die Signaturen nicht aelter als eine Woche sind.
__________
MfG Ralf
SEO-Spam Hunter
Dieser Beitrag wurde am 24.02.2004 um 12:10 Uhr von raman editiert.
Seitenanfang Seitenende
24.02.2004, 12:28
Nicklas
...neu hier

Beiträge: 5
#6 Hi,
ich bin neu auf diesem Board, aber auch mich hatte es erwischt mit dem StartPage/CWS oder wie auch immer dieser Mist heißt.
Ich beschreibe mal kurz wie ich Vorgegangen bin:
Erst mal den AV Wächter abgeschaltet, das piepsen ging mir auf die Nerven :)
dann habe ich mir den CWshredder gedownloadet und ein anderes tolles Tool XP-Clean(2000/XP) der link findet ihr hier:http://www.xpclean.de/, dann bin ich in den Abgesicherten Modus und habe den CWshredder ausgeführt, der hat auch so einiges gefunden. Als nächsten Schritt bin ich in den normalen Modus wieder gewechselt und habe XP-Clean installiert, das Prog aufgerufen und erstmal meine ganzen IE Einträge aus dem Temp gelöscht und alles was mit dem IE im Prog von XP-Clean angeboten wird. dann habe ich HijackThis mal angewendet und alles was da noch gefunden wurde was nicht irgendwo rein gehört hat, gelöscht. Dann habe ich nochmal das XP-Clean aufgerufen, da hat man die Möglichkeit die IE Startseite zu sperren. Das letzte was ich noch gemacht habe ist, die Systemwiederherstellung auszuschalten und Ad-aware mit der neuen RF durchlaufen zulassen.
Dieser Beitrag wurde am 24.02.2004 um 12:28 Uhr von Nicklas editiert.
Seitenanfang Seitenende
24.02.2004, 16:01
Semtex
...neu hier

Beiträge: 2
#7 also hier nochmal das log, nachdem ich im abgesicherten modus mit allen scannern gesucht und deleted habe (nortono hat 3 datein gefunden: 00042991.exe, mdmhelpv.exe und sysdll.reg die er nicht deleten konnte) was soll ich nun tun:

Logfile of HijackThis v1.97.7
Scan saved at 15:58:03, on 24.02.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\hijackthis1977\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.inf/?id=54
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [sureshotpopupkiller] "C:\Programme\Stop-the-Pop-Up Lite\stopthepop.exe" -minimized
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wupdmgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Recherchieren (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81E3EF5E-42AF-41CF-AB73-B5F871F25701}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5A92B9C-FA30-46C3-8BDD-9212028D4E77}: NameServer = 192.168.0.1
Seitenanfang Seitenende
24.02.2004, 16:12
raman
Moderator

Beiträge: 7805
#8 Du hast Adaware/Spybot schonheruntergeladen aktualisiert und laufen lassen? Da ist immer noch viel. Warum hat dein Norton denn nun die Sachen gefunden, aber dich nicht vor dieser Infektion geschuetzt?Wichtig ist, das du bevor du CWshredder/Adawrae und Spybot nutzt, das du den Norton Guard deaktivierst, der kommt den anderen Tools sonst in die quere.

Aber damit du erstmal weiterarbeiten kannst, "fix"e mal das:

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.inf/?id=54
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [rundll32] C:\windows\rundll32.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wupdmgr.exe
O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab

Dann neu starten. Jetzt sollte dei Norton die Dateien, die es gefunden hat auch loeschen koennen. Bitte das Windowsupdate nicht vergessen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
24.02.2004, 16:18
Nicklas
...neu hier

Beiträge: 5
#9 fixe das mal:

O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} - http://66.230.146.53/EPlugin.cab
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://aifind.inf/?id=54
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://aifind.inf/?id=54
O4 - HKLM\..\Run: [Winhost] C:\WINDOWS\winh.exe

bei dieser bin ich mir nicht sicher, aber vieleicht kann jemand anderes was dazu sagen. ich würde die noch nicht fixen und warten.
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\wupdmgr.exe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1