Startseite mit about:blank |
||
---|---|---|
#0
| ||
27.04.2004, 16:09
Member
Beiträge: 12 |
||
|
||
27.04.2004, 16:23
Member
Beiträge: 1122 |
#2
Fix mal:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {0DF6ACBB-A19A-4EC2-8DF5-2F3076FC8C78} - C:\WINDOWS\System32\inolea.dll (file missing) O2 - BHO: (no name) - {5B665599-EBEA-4FB1-B106-506ECF2E1D6B} - C:\WINDOWS\System32\ngghc.dll (file missing) O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de/ MFG DAFRA ###########################EDIT###################### Ich war um max. 59 Sekunden schneller Dieser Beitrag wurde am 27.04.2004 um 16:41 Uhr von Dafra editiert.
|
|
|
||
27.04.2004, 16:23
Ehrenmitglied
Beiträge: 29434 |
#3
Fixe:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de/ O2 - BHO: (no name) - {0DF6ACBB-A19A-4EC2-8DF5-2F3076FC8C78} - C:\WINDOWS\System32\inolea.dll (file missing) O2 - BHO: (no name) - {5B665599-EBEA-4FB1-B106-506ECF2E1D6B} - C:\WINDOWS\System32\ngghc.dll (file missing) O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank Lade http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm und scanne und scanne mit AdAware ...aktualisieren ! http://download.com.com/3000-8022-10214379.html?tag=lst-3-8 und CWShredder http://board.protecus.de/t9373.htm im abgesicherten Modus. und lade ClearProg, scanne http://www.clearprog.de/ und stelle die StartPage neu ein. -------------------------------------------------------------------------- Lade den Firefox als Zweitbrowser...ist viel sicherer . http://www.firebird-browser.de/ MfG Sabina-----.@Dafra...waren zeitgleich.... __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 27.04.2004 um 16:34 Uhr von Sabina editiert.
|
|
|
||
27.04.2004, 17:38
Member
Beiträge: 1095 |
#4
@fillerich
Teste bitte folgendes WICHTIG: regedt32, nicht regedit, starten. ( start/ausführen) unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows NT\CurrentVersion\Windows] Den Wert für "AppInit_DLLs überprüfen Den Eintrag "AppInit_dlls" markieren Dann ins Menu "Ansicht"/"Binäre Daten anzeigen" Wenn dann dort nur 0 angezeigt werden ists OK. Wenn nicht, haben wirs gefunden. Poste bitte was dort steht Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 27.04.2004 um 17:39 Uhr von paff editiert.
|
|
|
||
28.04.2004, 11:26
Member
Themenstarter Beiträge: 12 |
#5
Hallo,
mit der Datei: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\Windows NT\CurrentVersion\Windows] kann ich leider nichts anfangen, habe XP. Die Datei: http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm lässt sich ebenfalls nicht runterladen, versuche es aber weiter! Ich hab jetzt alles fixiert, hier nochmal das Logfile: Logfile of HijackThis v1.97.7 Scan saved at 10:48:32, on 28.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\MSDE\binn\sqlservr.exe C:\Norman\NVC\BIN\Zanda.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE C:\Programme\Winamp\Winampa.exe C:\NORMAN\Nvc\BIN\ZLH.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe C:\NORMAN\Nvc\BIN\NYMSE.EXE C:\NORMAN\Nvc\BIN\NIP.EXE C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\hardcopy\hardcopy.exe C:\Programme\Microsoft Office\Office\1031\msoffice.exe C:\NORMAN\Nvc\BIN\NVCSCHED.EXE C:\NORMAN\Nvc\BIN\NJEEVES.EXE C:\NORMAN\Nvc\BIN\nvcoas.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System32\taskmgr.exe C:\Dokumente und Einstellungen\uwe\Desktop\Virenprogramme\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://svr2/startpage.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.yahoo.de"); (C:\Programme\Netscape\Communicator\Users\freenet_30\prefs.js) O2 - BHO: (no name) - {F54D5F35-AA6F-4228-B582-F6C9ED517A8D} - C:\WINDOWS\System32\cncgda.dll (file missing) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84" O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O6 "USB001" /M "Stylus C84" O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe" O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = ? O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab |
|
|
||
28.04.2004, 11:31
Member
Beiträge: 1095 |
#6
Zitat mit der Datei: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\\WindowsLaß dich nicht von dem "WindowsNT" irritieren Diesen Eintrag hat dein WinXP trotzdem Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
28.04.2004, 11:43
Ehrenmitglied
Beiträge: 29434 |
#7
Die Datei: http://www.soft411.com/company/MicroWorld-Technologies-Inc/MicroWorld-Anti-Virus-Toolkit.htm
Du musst die Version waehlen <save disc< Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.04.2004 um 11:48 Uhr von Sabina editiert.
|
|
|
||
28.04.2004, 11:43
Member
Themenstarter Beiträge: 12 |
||
|
||
28.04.2004, 11:51
Ehrenmitglied
Beiträge: 29434 |
#9
suche die Datei unter Dokumente---Downloads mwav.exe
__________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.04.2004 um 11:53 Uhr von Sabina editiert.
|
|
|
||
28.04.2004, 12:01
Member
Themenstarter Beiträge: 12 |
#10
Keine Spur von der Datei!
Es gibt auch kein Verzeichnis Downloads bei mir! :o( Was mich auch verwundert, das ist das die Auslagerungsdatei bei 1,09GB liegt und alleine die explorer.exe alleine schon 332.000 kb angegeben wird. Die Rechnergeschwindigkeit geht ganz schön in die Knie! Dieser Beitrag wurde am 28.04.2004 um 12:11 Uhr von fillerich editiert.
|
|
|
||
28.04.2004, 12:43
Ehrenmitglied
Beiträge: 29434 |
#11
Hast du schon ueber die Suchfunktion nachgesehen ???
Sonst musst du sie eben noch einmal laden und dir den Pfad merken.Du musst die Version waehlen <save disc<, dann ist die Datei mwav.exe auch auf der Festplatte. Du musst im Exporer unter EXtras/Ordneroptionen/Ansicht/Versteckte Dateien und Ordner "Alle Dateien und Ordner anzeigen" Ansonsten mache mal einen Online-Virenscannn...wenn es klappt... http://housecall.trendmicro.com/ Unabhaengig von diesem Antivirentool musst du den Comp. mit AdAware , CWShredder im abgesicherten Modus scannen. Das ist gegen die Spyware, die auf dem Comp. ist. Und dann die TemporaryInternetfiles unter InternetOptionen loeschen(oder mit dem Tool ClearProg) und die Startseite neu einstellen. Die hohe Auslastung kann damit zusammenhaengen, dass du neben dem AveGuard-Antivirus wahrscheinlich noch einen zweiten , den Norman -Antivirus(?) oder ist es nur die Firewall(????) installiert hast. Der Aveguard "vertraegt" sich nicht mit anderen Virenscannern. Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 28.04.2004 um 12:56 Uhr von Sabina editiert.
|
|
|
||
28.04.2004, 13:26
Member
Themenstarter Beiträge: 12 |
#12
Das mit der Startseite scheint zu klappen.
Aber ich konnte die Datei überhaupt noch nicht runterladen! Der öffnet das Download-Fenster erst gar nicht. Scheint irgenwo hängen zu bleiben. Ich versuch das aber weiter! Benötigst Du noch irgendwelche Infos? Danke erst einmal Fillerich |
|
|
||
28.04.2004, 17:35
...neu hier
Beiträge: 6 |
#13
Das Problem mit der IE Startseite......
Hier ist die Lösung: Das die Startseite sich ändert liegt an einem Trojaner!!! Das Problem ist das nicht jeder Antivirus diesen findet.z.B. Norton Antivirus findet diesen Trojaner nicht(!) Downloadet euch den Antivir (freeware)! Lasst ihn dann 3 x laufen. Nach jedem Scannen PC neu starten... Das war alles.. |
|
|
||
28.04.2004, 18:01
Member
Beiträge: 1122 |
#14
@Notoriousbig
Quatsch nicht so einen Mist, der würde doch im Hijackthis Log angezeigt werden. Außerdem würde selbst Norton den nach 2 Tagen erkennen. Der hat einfach nur sich einen Hijacker eingefangen. MFG DAFRA |
|
|
||
28.04.2004, 21:13
Member
Beiträge: 1095 |
#15
@ Ihr Zwei
Nicht streiten Zur beruhigung das lesen http://board.protecus.de/t9537.htm ab hier 27.04.2004, 13:55 Viel Spass __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 28.04.2004 um 21:15 Uhr von paff editiert.
|
|
|
||
ich dachte er wäre weg. Jetzt steht schon wieder ständig about:blank in der Startseite. Ich hab das Log-File nochmals unten angegeben. Vielleicht könnt ihr mir noch einmal helfen.
Logfile of HijackThis v1.97.7
Scan saved at 16:05:56, on 27.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\MSDE\binn\sqlservr.exe
C:\Norman\NVC\BIN\Zanda.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\Winampa.exe
C:\NORMAN\Nvc\BIN\ZLH.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\NORMAN\Nvc\BIN\NYMSE.EXE
C:\NORMAN\Nvc\BIN\NIP.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\hardcopy\hardcopy.exe
C:\Programme\Microsoft Office\Office\1031\msoffice.exe
C:\NORMAN\Nvc\BIN\NVCSCHED.EXE
C:\NORMAN\Nvc\BIN\nvcoas.exe
C:\NORMAN\Nvc\BIN\NJEEVES.EXE
C:\NORMAN\Nvc\BIN\cclaw.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Dokumente und Einstellungen\uwe\Desktop\Virenprogramme\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.yahoo.de"); (C:\Programme\Netscape\Communicator\Users\freenet_30\prefs.js)
O2 - BHO: (no name) - {0DF6ACBB-A19A-4EC2-8DF5-2F3076FC8C78} - C:\WINDOWS\System32\inolea.dll (file missing)
O2 - BHO: (no name) - {5B665599-EBEA-4FB1-B106-506ECF2E1D6B} - C:\WINDOWS\System32\ngghc.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [EPSON Stylus C84 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P33 "EPSON Stylus C84 Series (Kopie 1)" /O6 "USB001" /M "Stylus C84"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\hardcopy\hardcopy.exe
O4 - Startup: Microsoft Office Shortcut-Leiste.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de/
O16 - DPF: {4E888414-DB8F-11D1-9CD9-00C04F98436A} (Microsoft.WinRep) - https://webresponse.one.microsoft.com/oas/ActiveX/winrep.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab