"Search for..." Startseite kommt immer wieder!Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
09.05.2004, 06:35
...neu hier
Beiträge: 1 |
||
|
||
09.05.2004, 10:44
Member
Beiträge: 1122 |
#2
Bitte das nächste Mal ins richtige Forum posten.
Fix mal das: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/26e31b8485e1bb295705/netzip/RdxIE601.cab O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab Kannst du mir mal die Datei schicken: C:\WINDOWS\SYSTEM\msconfig.exe An Spam-Email@gmx.net MFG DAFRA |
|
|
||
13.05.2004, 22:41
...neu hier
Beiträge: 3 |
#3
Hi Dafra, ich habe genau das selber Problem mit der Startpage, aber das will einfach nicht weggehen, hab schon mal en bissel mit HijackThis rumprobiert, aber es geht einfach nicht weg ! Auch aktuelle Virenscanner erkennen es, löschen es, aber nach dem Neustart des Pcs ist alles wieder da !
hier meine Logfile, danke im Vorraus. Logfile of HijackThis v1.97.7 Scan saved at 22:43:25, on 13.05.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Stardock\SDMCP.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Programme\ICQ\Icq.exe C:\Dokumente und Einstellungen\Florian\Desktop\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://leamsz.t.muxa.cc/s.php?aid=613 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://leamsz.t.muxa.cc/s.php?aid=613 (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://leamsz.t.muxa.cc/h.php?aid=613 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://leamsz.t.muxa.cc/s.php?aid=613 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://leamsz.t.muxa.cc/h.php?aid=613 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://leamsz.t.muxa.cc/s.php?aid=613 (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://leamsz.t.muxa.cc/s.php?aid=613 (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://leamsz.t.muxa.cc/s.php?aid=613 (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://leamsz.t.muxa.cc/h.php?aid=613 (obfuscated) R3 - URLSearchHook: (no name) - {D6DFF6D8-B94B-4720-B730-1C38C7065C3B} - (no file) F2 - REG:system.ini: Shell=Explorer.exe O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\DOWNLO~1\wyns.dll O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\lbbho.dll O4 - HKLM\..\Run: [FLMMEDIONMOUSE] C:\Programme\Browser mouse\1.3\mouse32a.exe O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia keyboard utility\1.3\MMKEYBD.EXE O4 - HKLM\..\Run: [sys] regedit -s sys.reg O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Microsoft Windows] mstask0.exe O4 - HKCU\..\Run: [YAW starten] "C:\Programme\YAW 3.5\yawguard.exe" O4 - HKCU\..\Run: [Steam] "c:\31337 0rdn3r\steam\steam.exe" -silent O4 - Global Startup: GetRight - Tray Icon.lnk = H:\Pr0gr4mm3\GetRight\getright.exe O8 - Extra context menu item: Download with GetRight - H:\Pr0gr4mm3\GetRight\GRdownload.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - H:\Pr0gr4mm3\GetRight\GRbrowse.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://info4.httpsgateway.com/download/dialer/cax.cab O16 - DPF: {26E8361F-BCE7-4F75-A347-98C88B418322} - http://dst.trafficsyndicate.com/Dnl/T_401/QDow.cab O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/games-intl/de/games3.cab O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/de/games4.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} (EPlugin Control) - http://66.230.146.53/EPlugin.cab O16 - DPF: {F5FA9C2A-530C-408A-BB68-F23AEE1E5E5E} (GoWorld Control) - http://download.buxomatic.com/access/goworldprof.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1CA9BF74-0B45-4A42-8FA3-8A08F389FAAF}: NameServer = 217.237.150.33 194.25.2.129 O17 - HKLM\System\CS2\Services\Tcpip\..\{1CA9BF74-0B45-4A42-8FA3-8A08F389FAAF}: NameServer = 217.237.150.33 194.25.2.129 Hoffentlich findet ihr/du etwas, was die ganze Sache stoppen kann, oder maybe hast du noch alternative Lösungen ;-) |
|
|
||
14.05.2004, 11:12
Member
Beiträge: 1095 |
#4
Hi Pir4niA
Fixe mal das in HiJackThis (ankreuzen/Fix Cheched drücken) aber im abgesicherten Modus von Windows XP http://www.bsi.de/av/texte/winsave.htm Alles mit R0&R1 3 - URLSearchHook: (no name) - {D6DFF6D8-B94B-4720-B730-1C38C7065C3B} - (no file) F2 - REG:system.ini: Shell=Explorer.exe O2 - BHO: (no name) - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing) O2 - BHO: (no name) - {A9AEE0DD-89E1-40EE-8749-A18650CC2175} - C:\WINDOWS\DOWNLO~1\wyns.dll O2 - BHO: LBBHO - {EFD84954-6B46-42f4-81F3-94CE9A77052D} - C:\WINDOWS\lbbho.dll O4 - HKLM\..\Run: [sys] regedit -s sys.reg O4 - HKLM\..\RunServices: [Microsoft Windows] mstask0.exe O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Moniker32 Class) - http://63.217.29.115/cax.cab O16 - DPF: {2048B51E-8D74-4762-82CE-B48CF545EEEA} (CAX Object) - http://info4.httpsgateway.com/download/dialer/cax.cab O16 - DPF: {26E8361F-BCE7-4F75-A347-98C88B418322} - http://dst.trafficsyndicate.com/Dnl/T_401/QDow.cab O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB O16 - DPF: {F57D17AE-CE37-4BC8-B232-EA57747BE5E7} (EPlugin Control) - http://66.230.146.53/EPlugin.cab O16 - DPF: {F5FA9C2A-530C-408A-BB68-F23AEE1E5E5E} (GoWorld Control) - http://download.buxomatic.com/access/goworldprof.cab dann neustart Dann das hier durchführen http://board.protecus.de/t9373.htm vorallem cwshredder Danach neustart dann nochmal logfile posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware Dieser Beitrag wurde am 14.05.2004 um 11:16 Uhr von paff editiert.
|
|
|
||
14.05.2004, 14:32
Ehrenmitglied
Beiträge: 29434 |
#5
http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html
lade dann noch den WebWasher und stelle unter InternetOptionen die Startseite neu ein. MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.05.2004, 15:04
...neu hier
Beiträge: 3 |
#6
Danke schön, ich probiers mal ;-)
|
|
|
||
14.05.2004, 17:01
Ehrenmitglied
Beiträge: 29434 |
#7
http://www.mwti.net/antivirus/free_utilities.asp
#Lade zusaetzlich die mwav.exe, scanne (alle Dateien) und loesche MANUELL , was er dir anzeigt. #update den IE auf IE 6 SP1 http://www.microsoft.com/windows/ie_intl/de/ie6sp1.asp #Mache einen OnlineScann http://housecall.trendmicro.com/ #Lade den Firefox als Zweitbrowser...keine Probleme mehr mit verstellten Seiten http://firebird.stw.uni-duisburg.de/windows.php ------------------------------------------------------------------------------------------ poste das Log dann noch einmal MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit Dieser Beitrag wurde am 14.05.2004 um 17:07 Uhr von Sabina editiert.
|
|
|
||
23.05.2004, 15:23
...neu hier
Beiträge: 2 |
#8
Hi leute,
ich habe das selbe problem. Hab schon CWS-Shredder, Adaware, Spyboot-Search&Destroy und Spy-Sweeper laufen lassen. Die finden auch so einiges und löschen es auch. Mit HiJackThis finde ich auch so einiges und fixe es z.B. *dll datei aber diese *dll's kommen immer wieder und immer unter einem anderen namen. sobaldi ich sie gefixt bzw enfernt habe und ich den rechner neu starte dauert es nur ein paar minuten bis die seite wieder da ist. ich habe noch zusätzlich den Firefox-Browser auf dem Rechner installiert und dort erscheint die seite nicht!!! Hier der logfile von HJT: Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\WINNT\System32\svchost.exe C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE C:\WINNT\system32\regsvc.exe C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\MSTask.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\atiptaxx.exe C:\WINNT\Mixer.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\1&1 Programme\cFos\cFosDNT.exe C:\WINNT\System32\svchost.exe C:\Programme\Messenger Plus! 2\MsgPlus.exe C:\Programme\Philips\Digital Media Manager\java\bin\jusched.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINNT\system32\ntvdm.exe C:\Programme\Adobe\Acrobat 5.0\Acrobat\Acrobat.exe C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe C:\MyMp3Pro\myMP3.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\MYIE2\MyIE.exe E:\Eigene Dateien\HiJackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.msn.de/ O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O2 - BHO: (no name) - {DBC451CE-9ABE-4DA8-A245-7677F1F2700A} - C:\WINNT\system32\ami.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe O4 - HKLM\..\Run: [MessengerPlus2] "C:\Programme\Messenger Plus! 2\MsgPlus.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Philips\Digital Media Manager\java\bin\jusched.exe O4 - HKLM\..\Run: [PSDrvCheck] C:\WINNT\system32\PSDrvCheck.exe O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe O4 - Startup: QuickShelf.lnk = C:\LEXIROM\QSHLF95D.EXE O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm O9 - Extra button: Recherchieren (HKLM) O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O9 - Extra button: FlashGet (HKLM) O9 - Extra 'Tools' menuitem: &FlashGet (HKLM) O9 - Extra button: Yahoo! Messenger (HKLM) O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM) O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} (Office Update Installation Engine) - http://office.microsoft.com/officeupdate/content/opuc.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38025.6229976852 O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) - O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{259F28E0-7A37-4719-A063-E803556B895B}: NameServer = 217.237.150.97 194.25.2.129 dies hab ich alles gefixt: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {DBC451CE-9ABE-4DA8-A245-7677F1F2700A} - C:\WINNT\system32\ami.dll aaaaber die seite kommt nach einigen minuten nach neustart wieder |
|
|
||
23.05.2004, 21:15
Ehrenmitglied
Beiträge: 29434 |
#9
Fixe:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\ami.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {DBC451CE-9ABE-4DA8-A245-7677F1F2700A} - C:\WINNT\system32\ami.dll NEUSTARTEN Nachdem die nur 84 KB große Datei SpHjfix.exe heruntergeladen wurde, muss die Datei SpHjfix.exe durch einen Doppelklick gestartet und der Button "Desinfektion starten" gedrückt werden. http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Wenn es mit diesem Tool nicht beseitigt wird, lade http://www.diamondcs.com.au/index.php?page=apm klicke die einzelnen Prozesse an und loesche die ami.dll. Start<Ausfuehren<regedit Suche und loesche: {DBC451CE-9ABE-4DA8-A245-7677F1F2700A}BHO Loesche die TemporaryInternetfiles, lasse nur die Index.bat Lade Webwasher und stelle nach der Reinigung des IE die Startseite neu ein. http://www.zdnet.de/downloads/programs/a/f/de000PAF_is-wc.html MfG Sabina __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
25.05.2004, 03:43
...neu hier
Beiträge: 2 |
#10
Jo ich habe das problem an antivir gemailt hab dann ein update gemacht und nun wird das trojanische pferd erkannt und auf wunsch entfernt danach kann man wieder seine alte starseite eingeben und das problem ist gelöst www.antivir.de
|
|
|
||
04.06.2004, 15:02
...neu hier
Beiträge: 3 |
#11
Vielen Dank.
Hat alles geklappt, danke Sabina und paff ;-) Wollte mcih eigentlich schon früher melden, aber war zu faul sry ^^ Schönes Wochenende !!! cya & thx |
|
|
||
05.06.2004, 16:20
...neu hier
Beiträge: 1 |
#12
Hallo, habe das gleiche Problem wie die anderen hier. Leider hab ich keine Ahnung vom "fixen", was soll ich machen? Der Log sieht folgendermaßen aus:
Logfile of HijackThis v1.97.7 Scan saved at 16:14:32, on 05.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS2\System32\smss.exe C:\WINDOWS2\system32\winlogon.exe C:\WINDOWS2\system32\services.exe C:\WINDOWS2\system32\lsass.exe C:\WINDOWS2\System32\Ati2evxx.exe C:\WINDOWS2\system32\svchost.exe C:\WINDOWS2\System32\svchost.exe C:\WINDOWS2\system32\spoolsv.exe C:\WINDOWS2\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS2\system32\Ati2evxx.exe C:\WINDOWS2\Explorer.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\SysMetrix\SysMetrix.exe C:\Programme\PopUp Killer\PopUpKiller.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\PROGRA~1\Pinnacle\SHARED~1\Filter\server.exe C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe C:\Programme\Soulseek\slsk.exe C:\WINDOWS2\system32\cidaemon.exe D:\Propellerhead\Reason\Reason.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Pinnacle\Pinnacle PCTV\Remote\remoterm.exe C:\Programme\Internet Explorer\iexplore.exe C:\Downloadz\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS2\System32\jgooahb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS2\System32\jgooahb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS2\System32\jgooahb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS2\System32\jgooahb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS2\System32\jgooahb.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/spad/start.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.myexexex.com/search.php?said=spage&qq=%s R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.myexexex.com/search.php?said=spage R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS2\System32\jgooahb.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?newlx (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://in.webcounter.cc/--/?newlx (obfuscated) O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {88C6CC66-6D1F-490B-95CC-A8FB82C0B8FC} - C:\WINDOWS2\System32\jgooahb.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: (no name) - {8554AFC3-CE73-4307-B565-4DB125E4AE30} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS2\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SysMetrix] C:\Programme\SysMetrix\SysMetrix.exe O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [PopUpKiller] C:\Programme\PopUp Killer\PopUpKiller.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS2\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: Microsoft® JavaScript® Console (HKLM) O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM) O9 - Extra button: Preispiraten 2.1.1 (HKLM) O9 - Extra button: Research (HKLM) O9 - Extra button: eBay Homepage (HKLM) O9 - Extra button: Microsoft® JavaScript® Console (HKCU) O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU) O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O13 - Home Prefix: http://www.myexexex.com/search.php?said=pfxp&qq= O13 - Mosaic Prefix: http://www.myexexex.com/search.php?said=pfxp&qq= O13 - FTP Prefix: http://www.myexexex.com/search.php?said=pfxp&qq= O13 - Gopher Prefix: http://www.myexexex.com/search.php?said=pfxp&qq= O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38096.6775231482 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FD4A970A-E5BB-406C-B9D0-E71B8E167338}: NameServer = 217.237.149.161 194.25.2.129 |
|
|
||
07.06.2004, 09:22
Member
Beiträge: 1095 |
#13
@BeeZerk
Führe bitte das durch http://www.rokop-security.de/main/article.php?sid=703 ACHTUNG WICHTIG Achte darauf das du alle Programme, die du dort runterlädts, danach auch updatest Dann das http://www.trojaner-info.de/anleitungen/hijackthis/about_blank.html Dann neustart und nochmal Logfile Posten Gruß paff __________ http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware |
|
|
||
08.06.2004, 15:34
...neu hier
Beiträge: 4 |
#14
Hallo Leute,
was soll ich blos sagen - ich hab natürlich das gleiche Problem. Meinen PC hab ich in der letzte Woche 3 mal neu aufgesetzt, da ich mit Java ständig BlueScreens produziert habe. Keine Ahnung warum, dieses Problem besteht leider noch immer. Ja und diese "Search for" Leiste auf der Startseite nervt natürlich auch. Mein PC ist noch ziemlich jungfräulich - außer Sygate Firewall, BitDefender, HistoryKill, Adaware, Spysweeper und einen Startup Manager läuft nur noch das Office 2000 auf meinem Rechner. Ich wäre Euch echt dankbar, wenn mir jemand mein Logfile von HJT entziffern könnte - weil - eh, naja computertechnisch bin ich noch eher eine "Wildsau". Besten Dank jedenfalls und liebe Grüße Logfile of HijackThis v1.97.7 Scan saved at 14:18:56, on 08.06.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe C:\Programme\HistoryKill\histkill.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\HistoryKill\hkPopupKiller.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\KS\Eigene Dateien\Software\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bjfeof.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\bjfeof.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\bjfeof.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\bjfeof.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\bjfeof.dll/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\bjfeof.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {630DDC75-A74B-4B82-938B-1DEFB5B05C38} - C:\WINDOWS\System32\bjfeof.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\System32\pmxinit.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe O4 - HKCU\..\Run: [HistoryKill] C:\Programme\HistoryKill\histkill.exe /startup O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/148119a2571ca3/housecall.antivirus.com/housecall/xscan53.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{08F94938-06B5-40F2-8A67-ED67AAB23905}: NameServer = 195.58.160.2 195.58.161.3 O17 - HKLM\System\CS1\Services\Tcpip\..\{08F94938-06B5-40F2-8A67-ED67AAB23905}: NameServer = 195.58.160.2 195.58.161.3 |
|
|
||
08.06.2004, 16:39
...neu hier
Beiträge: 3 |
#15
auch ich habe dieses Problem
Wie bei den meisten im Forum: meine Startseite stellt sich immer auf blank um -> es kommt eine search-site bitte mal mein logfile durchschauen zur Ergänzung: ich kann bei IE startseite umstellen und in reg. start- und standardseite umstellen. einmal IE schließen und wieder öffnen und es ist wieder die about:blank seite mit search for am bildschirm Ad-aware 6 findet immer probleme - ich lösche alles und beim nächsten mal findet er wieder etwas vieleicht kann mir ja doch wer helfen mfG Logfile of HijackThis v1.97.7 Scan saved at 16:08:33, on 08.06.2004 Platform: Windows 2000 SP2 (WinNT 5.00.2195) MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe C:\Programme\NavNT\defwatch.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\cba\pds.exe C:\Programme\Danware Data\NetOp Remote Control\HOST\NHOSTSVC.EXE C:\Programme\NavNT\rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\cba\xfr.exe C:\WINNT\system32\MsgSys.EXE C:\WINNT\Explorer.EXE C:\Programme\NavNT\vptray.exe C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\MSWinCE2\AutoDetect.exe C:\Programme\Gemeinsame Dateien\XCPCMenu.exe C:\WINNT\system32\internat.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Netropa\Multimedia Keyboard\mmusbkb2.exe C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe C:\Programme\Netropa\Onscreen Display\OSD.exe C:\Programme\Microsoft Office\Office\1031\msoffice.exe C:\Programme\Microsoft Office\Office\EXCEL.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\ACD\ACDSee\ACDSee.exe C:\WINNT\system32\ntvdm.exe C:\WINNT\system32\taskmgr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\download\HijackThis.exe C:\WINNT\system32\NOTEPAD.EXE R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fcnln.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fcnln.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fcnln.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fcnln.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fcnln.dll/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = konzern.porr.at R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.at R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fcnln.dll/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von A. PORR AG O1 - Hosts: 195.51.208.3 porrwien01 #pre O2 - BHO: (no name) - {0000607D-D204-42C7-8E46-216055BF9918} - (no file) O2 - BHO: (no name) - {016441E9-F4FC-47C9-9E65-C76A94011FC5} - C:\WINNT\system32\fcnln.dll O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 5 PE\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe O4 - HKLM\..\Run: [XTNDConnect PC - LtNts4] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\LtNts4\NtsAgnt.exe O4 - HKLM\..\Run: [XTNDConnect PC - PocketPC] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\PocketPC\AutoDetect.exe O4 - HKLM\..\Run: [XTNDConnect PC - MSWinCE2] C:\Programme\Gemeinsame Dateien\XCPCSync\Translators\MSWinCE2\AutoDetect.exe O4 - HKLM\..\Run: [XTNDConnect PC] C:\Programme\Gemeinsame Dateien\XCPCMenu.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://porrinfoat O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{4C452793-2DE3-418F-B01D-AE41BFF515D2}: NameServer = 195.3.96.67,195.3.96.68 |
|
|
||
Ich habe mir etwas furchtbares eingefangen...
Und zwar installiert sich immer wieder eine dubiose "search for..." startseite unter dem Eintrag "blank"
Ich habe ad-ware (nach update), cws-shredder und spybotsd drüber laufen lassen. Sie können es nicht wirklich entfernen und legen einfach www.msn.com als Startseite fest... so bald ich aber eine andere Seite (z.b.) Google als Startseite festgelegt habe, dann habe ich bei erneutem Aufruf des IExplorer wieder diese "search for"-kacke am Hals..!!!! und mein Rechner ist wieder infiziert mit dem zeugs... ad-ware findet dann wieder 8 einträge.. ich entferne die.. beim nächsten windows start habe ich wieder www.msn.com als startseite.. alles scheint ok.. aber sobald ich wieder eine andere startseite als www.msn.com festlegen will, habe ich wieder "search for..." Ein Teufelskreislauf...
hier meine Hijackthis-logfile
Logfile of HijackThis v1.97.7
Scan saved at 06:23:08, on 09.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\KHOOKER.EXE
C:\WINDOWS\SYSTEM\IRMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.lycos.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\SYSTEM\khooker.exe
O4 - HKLM\..\Run: [IrMon] irmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\WORD00~1\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O12 - Plugin for .mpeg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {AD7FAFB0-16D6-40C3-AF27-585D6E6453FD} - http://dload.ipbill.com/del/loader.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/26e31b8485e1bb295705/netzip/RdxIE601.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {103DFAE7-50CC-41FC-9D57-1A4BCA0DFD87} (Upload Control) - https://img.web.de/v/mail/mms/activex/mms_upload_1104.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38115.8790393519
vielleicht findet ihr ja was.. wäre euch SEHR dankbar!!
LG John79