"Search for..." Startseite kommt immer wieder!

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.03.2005, 11:43
...neu hier

Beiträge: 9
#391 Hallo Sabina,

ich konnte die Dateien, die Du mir angegeben hast selbst nicht löschen, deshalb war es super, dass Du mir den neuen Programmtipp gegeben hast. Ich hab jetzt gelöscht und beim Neustart auch schon die Fehlermeldung RUNDLL bekommen, C:\WINDOWS\WAZD.BMP wurde nicht gefunden (also hat’s wohl geklappt).

Dummerweise geht nach wie vor immer wieder ein Fenster selbsttätig auf mit dem bekannten Verweis auf meinen langsamen Rechner und mögliche spyware-Angriffe.

Ich hab jetzt mal die logfiles von Hijackthis, Startdreck und Silentrunners angehängt, die Du zuletzt sehen wolltest und hoffe, Du findest was  . Ansonsten mache ich jetzt einfach nochmal die Prozedur Killbox-ClaerProg-CWShredder-escan (kann ja wohl nicht schaden, oder?) und schicke dann nochmal einen startdreck-Auszug. Was meinst Du?

Liebe Grüße
Jochen

Logfile of HijackThis v1.99.1
Scan saved at 10:45:22, on 10.03.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NIKON\NKVIEW\EVLSTNR.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\SICHERHEIT\HIJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vd-bw.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {2A4EF305-EA86-49DD-B483-04C376EF87D7} - C:\WINDOWS\SYSTEM\GMAFL.DLL (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EVENTLISTENER] C:\Programme\Nikon\NkView\EvLstnr.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .psd: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.vd-bw.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de


StartDreck (build 2.1.7 public stable) - 2005-03-10 @ 10:52:42 (GMT +01:00)
Platform: Windows 98 (Win 4.10.1998 )
Internet Explorer: 5.00.2919.6307
Logged in as ST6-1b at SANNE

»Registry
»Run Keys
»Current User
»Run
*Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
»RunOnce
»Default User
»Run
*Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
»RunOnce
»Local Machine
»Run
*Matrox Control Center=C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
*Matrox Color Control=C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
*Matrox Diagnostic=C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
*Atikey=Atitask.exe
*AtiCwd32=Aticwd32.exe
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*TaskMonitor=C:\WINDOWS\taskmon.exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SystemTray=SysTray.Exe
*EVENTLISTENER=C:\Programme\Nikon\NkView\EvLstnr.exe
*sp=rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SchedulingAgent=C:\WINDOWS\SYSTEM\mstask.exe
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific


"Silent Runners.vbs", revision 32, http://www.silentrunners.org/
Operating System: Windows 98
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Matrox QuickDesk" = "C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe" ["Matrox Graphics Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Matrox Control Center" = "C:\Programme\Matrox MGA PowerDesk\mgactrl.exe" ["Matrox Graphics Inc."]
"Matrox Color Control" = "C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe" ["Sonnetech Ltd."]
"Matrox Diagnostic" = "C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s" ["Matrox Graphics Inc."]
"Atikey" = "Atitask.exe" ["ATI Technologies, Inc."]
"AtiCwd32" = "Aticwd32.exe" ["ATI Technologies Inc."]
"ScanRegistry" = "C:\WINDOWS\scanregw.exe /autorun" [MS]
"TaskMonitor" = "C:\WINDOWS\taskmon.exe" [MS]
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SystemTray" = "SysTray.Exe" [MS]
"EVENTLISTENER" = "C:\Programme\Nikon\NkView\EvLstnr.exe" ["FotoNation Inc."]
"sp" = "rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ {++}
"LoadPowerProfile" = "Rundll32.exe powrprof.dll,LoadCurrentPwrScheme" [MS]
"SchedulingAgent" = "C:\WINDOWS\SYSTEM\mstask.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL" ["Safer Networking Limited"]
{2A4EF305-EA86-49DD-B483-04C376EF87D7}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\SYSTEM\GMAFL.DLL" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{BDA77241-42F6-11d0-85E2-00AA001FE28C}" = "LDVP Shell Extensions"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\SYMANT~1\SSC\VPSHELL2.DLL" ["Symantec Corporation"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Exchange"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Windows Messaging\mlshext.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office\olkfstub.dll" [MS]
"{992CFFA0-F557-101A-88EC-00DD010CCC48}" = "DFÜ-Netzwerk"
-> {CLSID}\InProcServer32\(Default) = "rnaui.dll" [MS]
"{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\ahead\Nero\neroshx.dll" ["ahead software gmbh im stoeckmaedle 6 76307 karlsbad, germany Fax: ++49-7248-911-888 e-mail: info@ahead.de"]
"{C56C4E21-706D-11D0-AFC5-444553540003}" = "Nikon View"
-> {CLSID}\InProcServer32\(Default) = "C:\Programme\Nikon\NkView\MLCamView.dll" ["FotoNation Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRAMME\SICHERHEIT\rarext.dll" [null data]


WIN.INI & SYSTEM.INI launch points:
-----------------------------------

SYSTEM.INI
[boot]
"SCRNSAVE.EXE=C:\WINDOWS\SYSTEM\DUNKLE~1.SCR" (Dunkler Bildschirm.scr) [MS]


Startup items in "Startup" & "All Users...Startup" folders:
-----------------------------------------------------------

C:\WINDOWS\Startmenü\Programme\Autostart
"Microsoft-Indexerstellung" -> shortcut to: "C:\Programme\Microsoft Office\Office\FINDFAST.EXE" [MS]
"Office-Start" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA.EXE -b" [MS]


Enabled Scheduled Tasks:
------------------------

"Programmstart beschleunigen" -> launches: "walign" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "C:\WINDOWS\SYSTEM\rnr20.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
00000000000#\PackedCatalogItem (contains) DLL [Company Name], (at) # range:
C:\WINDOWS\SYSTEM\mswsosp.dll [MS], 1
C:\WINDOWS\SYSTEM\msafd.dll [MS], 2 - 4
C:\WINDOWS\SYSTEM\rsvpsp.dll [MS], 5 - 6

Internet Explorer Address Prefixes:
-----------------------------------

Prefix for specific service (i.e., "www")

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\
HIJACK WARNING! "ftp." = "ftp://"
HIJACK WARNING! "gopher." = "gopher://"
HIJACK WARNING! "home." = "http://"
HIJACK WARNING! "mosaic." = "http://"


----------
This report excludes default entries except where indicated.
To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
----------
Seitenanfang Seitenende
10.03.2005, 12:38
Member

Beiträge: 11
#392 Hallo liebe Leute!

Tjaaaaa, hab das gleiche Problem...wenn sich also jemand der Sache annehmen könnte wäre ich seeeeehr glücklich.

+++

Logfile of HijackThis v1.99.1
Scan saved at 12:34:16, on 10.03.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\AVSYNMGR.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\VSSTAT.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\VSHWIN32.EXE
C:\PROGRAMME\NETWORK ASSOCIATES\VIRUSSCAN\AVCONSOL.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\CREATIVE\NEWS\NEWSUPD.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\WINAMP\WINAMPA.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\T-Online\BSW3\ONLINE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\T-ONLINE\BSW3\TODUCALC.EXE
C:\PROGRAMME\WINAMP\WINAMP.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\DESKTOP\SECURITY\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [NewsUpd] C:\Programme\Creative\News\NewsUpd.EXE /q
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\PROGRAMME\WINAMP\WINAMPa.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Programme\Network Associates\VirusScan\AVSYNMGR.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\PROGRAMME\ICQTOOLBAR\TOOLBAR.DLL/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

+++

Hab 98 ME und vielleicht sollte ich noch ergänzend hinzufügen dass der Hijack Fix von Rokop nix findet - er meint es es läge keine Infektion vor...

thx in advance!

interot
Seitenanfang Seitenende
10.03.2005, 12:44
Moderator

Beiträge: 7805
#393 Wenn das Log komplett ist, bitte im abgesicherten Modus starten und das fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

Dann noch alles in diesem Ordner loeschen: C:\WINDOWS\TEMP und neu starten. Wenn das das problem beseitigt haben solte, okay, wenn nicht dann ein neues Log posten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.03.2005, 13:49
...neu hier

Beiträge: 9
#394 Hallo Sabina
und Helfer hier im Forum,

ich hab nochmal das ganze Programm durchgemacht und dabei folgendes festgestellt:
1. der Eintrag „SearchAssistantUninstall“ taucht in der registry nicht mehr auf! (also auch kein *.dll mehr abzulesen)
2. C:\WINDOWS\TEMP\SE.DLL war noch vorhanden. KillBox hat es in C:\submit abgelegt. Es ist aber versteckt und wird nicht angezeigt.
3. Der CWSShredder hat wieder nichts gefunden.
4. Dafür ist eScan richtig fündig geworden. Für mich Laien sieht es so aus, als ob sogar meine Sicherheitstools wie killbox angegriffen sind ...!?

Sabina, hast Du eine Ahnung, was man noch tun könnte. Oder muss ich wirklich die Notbremse „Neuformatierung“ ziehen?

Liebe Grüße
und herzlichen Dank für Deine Mühe (das muss mal wieder gesagt werden)
Jochen

P.S.: Ich hab die Ergebnisse aus eScan, startdreck und hijackthis angehängt und hoffe, es hilft.


Thu Mar 10 12:46:33 2005 => File C:\WINDOWS\SYSTEM\ceal.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Thu Mar 10 12:54:10 2005 => File C:\WINDOWS\SYSTEM\ceal.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Thu Mar 10 13:02:21 2005 => Scanning Folder: C:\Programme\Sicherheit\INFECTED\*.*

Thu Mar 10 13:02:21 2005 => Scanning File C:\Programme\Sicherheit\INFECTED\71C8CFF4.30D

Thu Mar 10 13:02:22 2005 => File C:\Programme\Sicherheit\INFECTED\71C8CFF4.30D infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.

Thu Mar 10 13:02:22 2005 => Scanning File C:\Programme\Sicherheit\INFECTED\#INDEX#

Thu Mar 10 13:02:22 2005 => Scanning File C:\Programme\Sicherheit\INFECTED\46528080.22C

Thu Mar 10 13:02:22 2005 => File C:\Programme\Sicherheit\INFECTED\46528080.22C infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.

Thu Mar 10 13:02:22 2005 => Scanning File C:\Programme\Sicherheit\INFECTED\0B89F418.2E9

Thu Mar 10 13:02:22 2005 => File C:\Programme\Sicherheit\INFECTED\0B89F418.2E9 infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.

Thu Mar 10 13:03:29 2005 => File C:\Programme\Sicherheit\Hijack This\backups\backup-20050308-093929-471.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

Thu Mar 10 13:06:47 2005 => File C:\!Submit\SE.DLL infected by "Trojan.Win32.StartPage.uz" Virus. Action Taken: No Action Taken.

Thu Mar 10 13:09:51 2005 => File C:\WINDOWS\SYSTEM\ceal.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.


Thu Mar 10 13:14:23 2005 => ***** Scanning complete. *****

Thu Mar 10 13:14:23 2005 => Total Files Scanned: 17213
Thu Mar 10 13:14:23 2005 => Total Virus(es) Found: 10
Thu Mar 10 13:14:23 2005 => Total Disinfected Files: 0
Thu Mar 10 13:14:23 2005 => Total Files Renamed: 0
Thu Mar 10 13:14:23 2005 => Total Deleted Files: 0
Thu Mar 10 13:14:23 2005 => Total Errors: 27
Thu Mar 10 13:14:23 2005 => Time Elapsed: 00:30:32
Thu Mar 10 13:14:23 2005 => Virus Database Date: 2005/03/07
Thu Mar 10 13:14:23 2005 => Virus Database Count: 120659

Thu Mar 10 13:14:23 2005 => Scan Completed.


StartDreck (build 2.1.7 public stable) - 2005-03-10 @ 13:36:52 (GMT +01:00)
Platform: Windows 98 (Win 4.10.1998 )
Internet Explorer: 5.00.2919.6307
Logged in as ST6-1b at SANNE

»Registry
»Run Keys
»Current User
»Run
*Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
»RunOnce
»Default User
»Run
*Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
»RunOnce
»Local Machine
»Run
*Matrox Control Center=C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
*Matrox Color Control=C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
*Matrox Diagnostic=C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
*Atikey=Atitask.exe
*AtiCwd32=Aticwd32.exe
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*TaskMonitor=C:\WINDOWS\taskmon.exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SystemTray=SysTray.Exe
*EVENTLISTENER=C:\Programme\Nikon\NkView\EvLstnr.exe
*sp=rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SchedulingAgent=C:\WINDOWS\SYSTEM\mstask.exe
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific


Logfile of HijackThis v1.99.1
Scan saved at 13:48:05, on 10.03.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NIKON\NKVIEW\EVLSTNR.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\WINWORD.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\SICHERHEIT\HIJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vd-bw.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EVENTLISTENER] C:\Programme\Nikon\NkView\EvLstnr.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - HKCU\..\RunServices: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .psd: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.vd-bw.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
Seitenanfang Seitenende
10.03.2005, 13:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#395 Hallo@jochen01

Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html



poste dann das Log vom Scann


Loesche mit der Killbox:
C:\WINDOWS\SYSTEM\ceal.dll
C:\Programme\Sicherheit\Hijack This\backups\backup-20050308-093929-471.dll
C:\!Submit\SE.DLL
C:\WINDOWS\TEMP\SE.DLL

PC neustarten


Dann poste noch mal das Log von Startdreck
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.03.2005, 17:14
...neu hier

Beiträge: 9
#396 Hallo Sabina,

das Spezialprogramm hat leider gar nichts gefunden ;-( (Hängt unten an)

Jetzt hoffe ich nur, dass die Killbox stark genug war ... (Startdreck kommt eins weiter unten)

Liebe Grüße
Jochen


10.03.05 17:02:57 SPSeHjFix started v1.06
10.03.05 17:02:57 OS: 2
10.03.05 17:02:57 Bad-Dll(IEP): (not found)
10.03.05 17:02:57 BHO-DLL: (not found)
10.03.05 17:02:57 UBF: 4
10.03.05 17:02:57 UBB: 0
10.03.05 17:02:57 UBR: 14
10.03.05 17:02:57 Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall (deleted)
10.03.05 17:02:57 File added to delete: C:\WINDOWS\TEMP\SE.DLL
10.03.05 17:02:57 Bad IE-pages found:
10.03.05 17:02:57 Stealth-String not found:
10.03.05 17:02:57 Not infected->END


StartDreck (build 2.1.7 public stable) - 2005-03-10 @ 17:12:19 (GMT +01:00)
Platform: Windows 98 (Win 4.10.1998 )
Internet Explorer: 5.00.2919.6307
Logged in as ST6-1b at SANNE

»Registry
»Run Keys
»Current User
»Run
*Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
»RunOnce
»Default User
»Run
*Matrox QuickDesk=C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
»RunOnce
»Local Machine
»Run
*Matrox Control Center=C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
*Matrox Color Control=C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
*Matrox Diagnostic=C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
*Atikey=Atitask.exe
*AtiCwd32=Aticwd32.exe
*ScanRegistry=C:\WINDOWS\scanregw.exe /autorun
*TaskMonitor=C:\WINDOWS\taskmon.exe
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SystemTray=SysTray.Exe
*EVENTLISTENER=C:\Programme\Nikon\NkView\EvLstnr.exe
»RunOnce
»RunServices
*LoadPowerProfile=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
*SchedulingAgent=C:\WINDOWS\SYSTEM\mstask.exe
»RunServicesOnce
»RunOnceEx
»RunServicesOnceEx
»Files
»System/Drivers
»Application specific
Seitenanfang Seitenende
11.03.2005, 14:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#397 nun poste bitte das neue Log vom HijackThis--> es scheint, das Problem ist geloest ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.03.2005, 16:37
...neu hier

Beiträge: 2
#398 Hilfe! Hab auch diese Seite am Hals, was soll ich tun? Ich kenne mich mit sowas überhaupt nicht aus und hoffe, dass mir hier geholfen werden kann. Mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:24:59, on 11.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ltmoh\ltmoh.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\Silvia\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =res://C:\DOKUME~1\Silvia\LOKALE~1\Temp\se.dll/sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Silvia\LOKALE~1\Temp\se.dll/sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\Programme\INSTAFINK\instafink.dll
O2 - BHO: (no name) - {50E99625-3726-4E38-8CD7-0DC94A81F13B} - C:\WINDOWS\system32\modf.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\cfgwiz.exe /GUID NIS /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Silvia\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Filter: text/html - {B3306D26-843A-4B0A-B520-5CE538203951} - C:\WINDOWS\system32\modf.dll
O18 - Filter: text/plain - {B3306D26-843A-4B0A-B520-5CE538203951} - C:\WINDOWS\system32\modf.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
Seitenanfang Seitenende
11.03.2005, 17:04
...neu hier

Beiträge: 1
#399 Hi
hab voll probs mit dem rechner hab kein plan

Logfile of HijackThis v1.99.1
Scan saved at 5:00:03 PM, on 3/11/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
C:\Programme\Winamp\winampa.exe
C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\AVWin\AVWUPSRV.EXE
C:\Programme\AVWin\AVGUARD.EXE
C:\Programme\AVWin\AVESVC.EXE
C:\Programme\AVWin\AVGNT.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Theron Koppel\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [svc] rundll32.exe
O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVWin\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVWUpd32] "C:\PROGRA~1\AVWin\Avwupd32.EXE" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVMAILC.EXE
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVGUARD.EXE
O23 - Service: AVE Service (AVEService) - H+BEDV Datentechnik GmbH - C:\Programme\AVWin\AVESVC.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVWin\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


___________________________________________________
lsass.exe
smss.exe

wie krieg ich die weg ?
Seitenanfang Seitenende
12.03.2005, 08:45
...neu hier

Beiträge: 2
#400 Bitte, ich brauche schnell Rat!!!
Seitenanfang Seitenende
12.03.2005, 11:00
...neu hier

Beiträge: 9
#401 Hallo Sabina,

ich hatte bisher wieder absolute Ruhe: keine aufpoppenden Fenster, keine Fehlermeldungen, keine fiesen Meldungen ... alles wie immer (freu!!!)!

Ich hoffe natürlich, dass ich mich nicht zu früh freue und nicht irgendein Trojaner noch im Pferdebauch sitzt und nur darauf wartet bis es dunkel ist ...

Jedenfalls bin ich absolut begeistert von Euem Forum und Deiner Hilfe im besonderen. Ich weiss, dass der Sinn eines solchen Forums in der nicht-kommerziellen gegenseitigen Hilfe besteht. Ich würde mich dennoch gerne in irgendeiner Form erkenntlich zeigen. Du bekommst noch eine pn.

Liebe Grüße
Jochen

P.S.: Vielleicht magst Du Dir ja das Hijackthis logfile noch ansehen und mir sagen, ob ich "clean" bin.

Logfile of HijackThis v1.99.1
Scan saved at 10:53:24, on 12.03.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.00 (5.00.2919.6304)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\ATITASK.EXE
C:\WINDOWS\SYSTEM\ATICWD32.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NIKON\NKVIEW\EVLSTNR.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\SICHERHEIT\HIJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.vd-bw.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SICHER~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [Matrox Control Center] C:\Programme\Matrox MGA PowerDesk\mgactrl.exe
O4 - HKLM\..\Run: [Matrox Color Control] C:\Programme\Matrox MGA PowerDesk\Color\hgcctl95.exe
O4 - HKLM\..\Run: [Matrox Diagnostic] C:\Programme\Matrox MGA PowerDesk\diag\mgadiag.exe -s
O4 - HKLM\..\Run: [Atikey] Atitask.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [EVENTLISTENER] C:\Programme\Nikon\NkView\EvLstnr.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKCU\..\Run: [Matrox QuickDesk] C:\Programme\Matrox MGA PowerDesk\QDesk\mgaqdesk.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .psd: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.vd-bw.de
O14 - IERESET.INF: MS_START_PAGE_URL=http://www.msn.de
Seitenanfang Seitenende
12.03.2005, 14:45
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#402 Hallo@jochen01

Das Log ist sauber
;)

Ein Hoch auf @Seeker, der das Tool kurzfristig entwickelt hat


#Alternativbrowser zum IE
Firefox
http://www.firefox-browser.de/windows.php
http://www.mozilla-europe.org/de/
Installation+Konfiguration Firefox
http://www.pcwelt.de/know-how/software/103924/index1.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.03.2005, 14:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#403 Hallo@silvia19

Hijacker about:blank - se.dll\sp.html
http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html

dann gehe in den abgesicherten Modus und loesche:
C:\Programme\INSTAFINK\instafink.dll

suche auch in der Registry Start-->Ausfuehren-->regedit--
nach allem von

INSTAFINK
InstaFinderK
instafink.dll
{4E7BD74F-2B8D-469E-90F0-F66AB581A933}

(Bearbeiten--> suchen-->....)--> mit rechtsklick loeschen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
12.03.2005, 15:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#404 Hallo@Deaqon

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: (no name) - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
O4 - HKLM\..\Run: [svc] rundll32.exe
O4 - HKLM\..\Run: [secure] c:\windows\system32\secure\rundll32.exe
O4 - HKLM\..\Run: [Windows ControlAd] C:\Program Files\Windows ControlAd\WinCtlAd.exe

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

C:\Program Files\Windows ControlAd\WinCtlAdAlt.exe
C:\Program Files\Windows ControlAd\WinCtlAd.exe
c:\windows\system32\rundll32\svchost.exe
c:\windows\system32\secure\rundll32.exe
C:\PROGRA~1\SEARCH~2\SEARCH~1.DLL
C:\WINDOWS\localNRD.dll

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

PC neustarten

<Lade clrav-->klicke an und es beginnt ein automatischer Scann unter DOS
http://www.kaspersky.com/de/removaltools?vtopen=146410248#open

•Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

•BitDefender Scan
http://www.bitdefender.de/scan/licence.html
www.bitdefender.com/scan/Msie/index.php

•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory


-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.04.2005, 15:49
...neu hier

Beiträge: 4
#405 Hallo an alle

Ich sag nur "SEARCH FOR.." -Problem
Sabina, wenn du kurz mal zwischen den 10000 Antworten die du tägl. gibst für mich zeit hättest ...

Meine Log File:

(10.4.05 15:31:29) SPSeHjFix started v1.1.1
(10.4.05 15:31:29) OS: WinXP Service Pack 1 (5.1.2600)
(10.4.05 15:31:29) Language: deutsch
(10.4.05 15:31:31) Disinfection started
(10.4.05 15:31:31) Bad-Dll(IEP): c:\dokume~1\rakzero\lokale~1\temp\se.dll
(10.4.05 15:31:31) Searchassistant Uninstaller found: regsvr32 /s /u C:\WINDOWS\System32\ekpm.dll
(10.4.05 15:31:31) Searchassistant Uninstaller - Keys Deleted
(10.4.05 15:31:31) FilterKey: HKCR\text/html (deleted)
(10.4.05 15:31:31) FilterKey: HKCR\CLSID\{8B7B3776-36F2-4B65-8B8A-E80358A530EE} (deleted)
(10.4.05 15:31:31) FilterKey: HKLM\SOFTWARE\Classes\text/html (error while deleting)
(10.4.05 15:31:31) FilterKey: HKCR\text/plain (deleted)
(10.4.05 15:31:31) FilterKey: HKCR\CLSID\{8B7B3776-36F2-4B65-8B8A-E80358A530EE} (error while deleting)
(10.4.05 15:31:31) FilterKey: HKLM\SOFTWARE\Classes\text/plain (error while deleting)
(10.4.05 15:31:31) BHO-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BAE9288B-CBDB-448D-9989-91F8D6121B42} (file missing: deleted)
(10.4.05 15:31:31) BHO-Key: HKCR\CLSID\{BAE9288B-CBDB-448D-9989-91F8D6121B42} (file missing: deleted)
(10.4.05 15:31:31) UBF: 6
(10.4.05 15:31:31) UBB: 2
(10.4.05 15:31:31) UBR: 15
(10.4.05 15:31:31) Run-Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\sp=rundll32 C:\DOKUME~1\Rakzero\LOKALE~1\Temp\se.dll,DllInstall (deleted)
(10.4.05 15:31:31) Bad IE-pages:
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\rakzero\lokale~1\temp\se.dll/spage.html
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKCU\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Bar: res://c:\dokume~1\rakzero\lokale~1\temp\se.dll/spage.html
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Start Page: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Main, HomeOldSP: about:blank
deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank
(10.4.05 15:31:31) Stealth-String not found
(10.4.05 15:31:31) Temp-Files delete on Reboot
(10.4.05 15:31:31) File added to delete: c:\windows\system32\ekpm.dll
(10.4.05 15:31:31) File added to delete: c:\dokume~1\rakzero\lokale~1\temp\se.dll
(10.4.05 15:31:31) File added to delete: c:\dokume~1\rakzero\lokale~1\temp\~dfa21f.tmp
(10.4.05 15:31:31) Reboot


(10.4.05 15:32:27) SPSeHjFix started v1.1.1
(10.4.05 15:32:27) OS: WinXP Service Pack 1 (5.1.2600)
(10.4.05 15:32:27) Language: deutsch
(10.4.05 15:34:13) Disinfection started
(10.4.05 15:34:13) Bad-Dll(IEP): (not found)
(10.4.05 15:34:13) Bad-Dll(IEP) in BHO: (not found)
(10.4.05 15:34:13) UBF: 4
(10.4.05 15:34:13) UBB: 1
(10.4.05 15:34:13) UBR: 14
(10.4.05 15:34:13) Bad IE-pages: (none)
(10.4.05 15:34:13) Stealth-String not found
(10.4.05 15:34:13) Not infected->END


Ist jetzt alles in Ordnung? Einstweilen (3 min nach dem Reboot) nimmt er eine neue Startseite an.
Seitenanfang Seitenende