http://your-search.cc/ als Startseite.. weiss nicht was nun

#0
30.03.2004, 14:37
...neu hier

Beiträge: 4
#1 Hi
Ich habe auf einmal die Seite: http://your-search.cc/ als Startseite.

Ich habe mal HijackThis ausgeführt, das kam dabei raus:

Code

Logfile of HijackThis v1.97.7
Scan saved at 14:36:49, on 30.03.2004
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\WINNT\System32\PROMon.exe
C:\WINNT\System32\loadwc.exe
C:\Programme\mouse\system\em_exec.exe
C:\Programme\Compaq\Easy Access Keyboard\MMKeybd.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Notes\NLNOTES.EXE
C:\Programme\Notes\naldaemn.EXE
C:\PROGRA~1\INTERN~1\iexplore.exe
C:\PROGRA~1\INTERN~1\iexplore.exe
G:\tools\hjt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.211.105.43/index.php?v=5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lista AG
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\Programme\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Easy Access Keyboard] C:\Programme\Compaq\Easy Access Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AutoInst] \\ERLSV055\Inst$\Prg\AutoInstall.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Lotus Notes.lnk = C:\Programme\Notes\notes.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Real.com (HKLM)
O13 - WWW. Prefix: http://
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = inhouse.lista.ch
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = inhouse.lista.ch
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 172.16.1.11 172.16.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 172.16.1.11 172.16.1.1
--------------------
Was kann ich nun mit diesem Log anfangen?
Was muss ich unternehmen?

Und was mich auch sehr interessieren würde, wie kam das auf mein System? und ist das ein Virus oder Wurm oder was?

Danke für eure Hilfe!

Gruss
Seitenanfang Seitenende
30.03.2004, 15:09
Member

Beiträge: 1095
#2 Hi

führe bitte das hier aus
http://board.protecus.de/t9373.htm

besonders den Teil mit CWShredder

dann dashier fixen (wenn's noch da ist)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.211.105.43/index.php?v=5

dann neustart

dann nochmal logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 30.03.2004 um 15:14 Uhr von paff editiert.
Seitenanfang Seitenende
30.03.2004, 15:27
...neu hier

Themenstarter

Beiträge: 4
#3 hi paff.
Ich glaube ich habe etwas voreilig gepostet, tut mir leid.
Auf jedenfall habe ich jetzt mal alle möglichen Tools (welche auf dieser Page waren) laufen lassen und ich kann meine Startseite wieder ändern.
Allerdings sind jetzt diese Einträge drin:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.ch/

soll ich den letzen (Start Page = http://google.ch/) auch fixen? Oder habe ich sonst gar keine Startseite mehr?

Gruss
Seitenanfang Seitenende
30.03.2004, 15:46
Member
Avatar Dafra

Beiträge: 1122
#4 Nein, den kannst du stehen lassen.
Wenn du ihn fixen würdest hättest du keine Start-Seite mehr, könntest aber einfach wieder eine einstellen.
MFG
DAFRA
Seitenanfang Seitenende
30.03.2004, 16:13
Member

Beiträge: 1095
#5 Hi hashpipe

Die Startseite kannst du jederzeit wieder über Start/Systemsteuerung/Internetoptionen wieder setzen.

Fixe bitte die Einträge
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://81.211.105.43/index.php?v=5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://81.211.105.43/index.php?v=5
soweit vorhanden

zur Sicherheit kannst du ja nochmal das gesamte Logfile posten

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
31.03.2004, 08:27
...neu hier

Themenstarter

Beiträge: 4
#6 Ok hier nochmals das Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 08:27:36, on 31.03.2004
Platform: Windows NT 4 SP6 (WinNT 4.00.1381)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\nddeagnt.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\SysTray.Exe
C:\WINNT\System32\PROMon.exe
C:\WINNT\System32\loadwc.exe
C:\Programme\mouse\system\em_exec.exe
C:\Programme\Compaq\Easy Access Keyboard\MMKeybd.exe
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Notes\NLNOTES.EXE
C:\Programme\Notes\naldaemn.EXE
C:\PROGRA~1\INTERN~1\iexplore.exe
G:\tools\hijackthis\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.ch/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Lista AG
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=userinit,nddeagnt.exe
O2 - BHO: (no name) - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Programme\DAP\DAPBHO.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [BrowserWebCheck] loadwc.exe
O4 - HKLM\..\Run: [SchedulingAgent] mstinit.exe /logon
O4 - HKLM\..\Run: [EM_EXEC] C:\Programme\mouse\system\em_exec.exe
O4 - HKLM\..\Run: [Easy Access Keyboard] C:\Programme\Compaq\Easy Access Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AutoInst] \\ERLSV055\Inst$\Prg\AutoInstall.exe
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [LDM] C:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Lotus Notes.lnk = C:\Programme\Notes\notes.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O9 - Extra button: Run DAP (HKLM)
O9 - Extra button: Real.com (HKLM)
O13 - WWW. Prefix: http://
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = inhouse.lista.ch
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = inhouse.lista.ch
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 172.16.1.11 172.16.1.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = inhouse.lista.ch
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 172.16.1.11 172.16.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 172.16.1.11 172.16.1.1


hey aber ich hätte noch eine andere Frage: Was war das genau? Und wieso wird es nicht von einem aktuellen Virenscanner erkannt?

Danke für eure Hilfe :o)
Seitenanfang Seitenende
31.03.2004, 09:35
Member

Beiträge: 1095
#7 Hi


Das kann noch raus
O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe
(Achtung: Nur diesen Eintrag löschen. Nicht die Datei selber.)

O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER


Diese beiden Starten LotusNotes und MSOffice beim Start von Windows.Sind meistens für die Office bzw Lotus Startleiste zuständig. Kann raus wenn du willst!
O4 - Global Startup: Lotus Notes.lnk = C:\Programme\Notes\notes.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE


Den hier kenn ich nicht. Scheint ein Installationsprogramm von irgendeinem Server bei euch im Netzwerk zun sein. Kannst du ja mal überprüfen.
O4 - HKLM\..\Run: [AutoInst] \\ERLSV055\Inst$\Prg\AutoInstall.exe


Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
31.03.2004, 17:12
...neu hier

Themenstarter

Beiträge: 4
#8 O4 - HKLM\..\Run: [mdac_runonce] C:\WINNT\System32\runonce.exe <-- was ist denn das?

AutoInstall.exe ist ein kleines Tool von uns, ist schon gut so wie es ist :)
Seitenanfang Seitenende
31.03.2004, 17:13
Member
Avatar Dafra

Beiträge: 1122
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: