| |
| |||||||
Log-Analyse und Auswertung: veränderte Startseite im IEWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML |
 |
18.03.2005, 23:23
| #1 |
| |  veränderte Startseite im IE Hallo zusammen, habe ein Problem mit meinerm IE. Der zeigt eine andere Startseite an als ich angegeben habe. Habe mal HijackThis drüberlaufen lassen. Bitte seht euch das LOG mal an. Habe das LOG-File alleruckis.txt hier angehängt. Falls es nicht mit dem Anhang funktioniert habe ich es auch noch unten reinkopiert. Viel Dank im voraus !! Grüßle an alle Lambrusco_Kid Logfile of HijackThis v1.99.0 Scan saved at 19:40:45, on 17.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\KodakCCS.exe C:\WINDOWS\System32\nvsvc32.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE C:\WINDOWS\Explorer.EXE C:\PROGRA~1\0190WA~1\WARN0190.EXE C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Microsoft Money\System\reminder.exe C:\Programme\BTORadio\ps_agent.exe C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe C:\WINDOWS\9CDA.exe C:\PROGRA~1\Teledat\WCOM\SYSTEM\ADBSERV.EXE C:\Programme\Teledat\WCOM\SYSTEM\RVSRmd.exe C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE C:\Programme\Teledat\WCOM\SYSTEM\CCSRV.EXE C:\Programme\Outlook Express\msimn.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\DIERUC~1\LOKALE~1\Temp\Rar$EX06.898\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-links.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {340ADBCB-F7D9-4693-8795-7F0ADE065548} - C:\WINDOWS\System32\eejdic.dll (file missing) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE O4 - HKLM\..\Run: [ABBYY Community Agent] C:\PROGRA~1\SPRINT~1.0OF\Sprint\CAgent.exe O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe O4 - HKCU\..\Run: [YAW Autostart] "C:\Programme\YAW\yaw.exe" O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\BTORadio\ps_agent.exe O4 - HKCU\..\RunOnce: [CommCenter] "C:\Programme\Teledat\WCOM\SYSTEM\ccui.exe" O4 - Global Startup: CAPIControl.lnk = ? O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%6...%6E%65%74/?my= O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%6...%6E%65%74/?my= O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O17 - HKLM\System\CS1\Services\Tcpip\..\{14F21C4E-2A95-4A42-9701-D1A51145B445}: NameServer = 145.253.2.203 145.253.2.196 O18 - Filter: text/html - {884732FC-7F7A-404A-8C49-325EA3E881EE} - C:\WINDOWS\System32\eejdic.dll O18 - Filter: text/plain - {884732FC-7F7A-404A-8C49-325EA3E881EE} - C:\WINDOWS\System32\eejdic.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing) O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: RVS CommCenter - Unknown - C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE O23 - Service: RvscomSv - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSCOMSV.EXE O23 - Service: RVS Installer - RVS Datentechnik GmbH, München - C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE O23 - Service: ScsiAccess - Unknown - C:\WINDOWS\System32\ScsiAccess.EXE |
|
18.03.2005, 23:50
| #2 |
 |  veränderte Startseite im IE Hallo lambrusco_kid,
__________________führe bitte dies mal aus: 1. Downloade Dir escan und befolge genau diese Anleitung (ein Scan im abgesicherten Modus dauert etwa eine Stunde)http://www.systemwiederherstellung-d...indows-xp.html, 2. starte nach dem Scan wieder in den normalen Modus, 3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen" 4. gebe dann "infected" ein, 5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum, 6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten. Beispiel: Wed Feb 02 19:48:56 2005 => Total Files Scanned: Wed Feb 02 19:48:56 2005 => Total Virus(es) Found: . . . . dartus |
|
20.03.2005, 13:48
| #3 |
| | veränderte Startseite im IE Danke Dartus ! werde das gleich mal ausprobieren und dir die Ergebnisse dann posten.
__________________Grüßle |
|
23.03.2005, 18:50
| #4 |
| | veränderte Startseite im IE Hier sind meine Ergebnisse des eScans. Sorry das es etwas lange gedauert hat. Danke schonmal für deine Hilfe Dartus. Grüßle |
|
23.03.2005, 21:23
| #5 |
| | veränderte Startseite im IE Hallo, Lass diese Datei (oder ist sie Dir bekannt) C:\WINDOWS\9CDA.exe hier online scannen --> http://virusscan.jotti.org/de Teile das Ergebnis mit. Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung und fixe (Scan mit Hijackthis, Häckchen vor Einträgen und auf Fix checked klicken): http://www.systemwiederherstellung-d...indows-xp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-links.net R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-links.net/?my= (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-links.net/?my= (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {340ADBCB-F7D9-4693-8795-7F0ADE065548} - C:\WINDOWS\System32\eejdic.dll (file missing) O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%6C%69%...E%6E%65%74/?my= O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%6C%69%...E%6E%65%74/?my= O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab O18 - Filter: text/html - {884732FC-7F7A-404A-8C49-325EA3E881EE} - C:\WINDOWS\System32\eejdic.dll O18 - Filter: text/plain - {884732FC-7F7A-404A-8C49-325EA3E881EE} - C:\WINDOWS\System32\eejdic.dll O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2.dll (file missing) Lösche folgende Dateien manuell: (Falls noch nicht eingestellt: Öffne den Explorer-->Extras-->Ordneroptionen-->Ansicht-->Systendateien ausblenden "häckchen weg“ und "Alle Dateien und Ordner Anzeigen" anklicken) C:\WINDOWS\System32\kb32.exe c:\x.cab c:\ied_s7.cab Papierkorb leeren Antivir-Quarantäne-Ordner leeren Neustart --> Systemwiederherstellung aktivieren Neues Logfile dartus |
|
10.04.2005, 15:57
| #6 |
| | veränderte Startseite im IE neues Log im anhang. Bitte mal durchsehen. Danke |
|
10.04.2005, 16:00
| #7 |
| | veränderte Startseite im IE shit hab das log-file vergessen !! hier ist es nun. |
|
| Themen zu veränderte Startseite im IE |
| .inf, adobe, antivir, antivir update, autostart, avg, bho, canon, drivers, explorer, file missing, hijack, hijackthis, internet, internet explorer, log, log-file, messenger, microsoft, nvidia, obfuscated, outlook express, problem, programme, rundll, software, system, system32, systemcheck, temp, usb, windows, windows messenger, windows xp, windows\system32\drivers |
Linear-Darstellung
