Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: wer kann mich von der internetstartseite search-area.com befreien?

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 01.03.2005, 12:54   #1
hopeless
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



ich habe folgendes problem:
meine internetstartseite öffnet immer mit search-area.com.
alle probleme die ad-aware, spybot und HTJ im abgesicherten modus aufgespürt hat, sind nicht dauerhaft zu entfernen.

könnt ihr mir bitte sagen, was ich tun soll??
vielen dank im voraus.

h.

hier die kurzauswertung meines logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:30:23, on 01.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

C:\WINDOWS\System32\bcmwltry.exe - Unbekannt
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe - Unbekannt
C:\PROGRA~1\cobra\PLUS10\Programm\cobraTM.exe - Unbekannt
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.com - Böse
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated) - Böse
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated) - Böse
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe - Unbekannt
O4 - Global Startup: BTTray.lnk = ? - Unbekannt
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%6...%63%6F%6D/?my= - Böse
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%6...%63%6F%6D/?my= - Böse
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fotopost24.de/XUpload.ocx - Eventuell Böse
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing) - Unbekannt

Alt 01.03.2005, 13:15   #2
FancyAndy
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



Tach Du

2 Dinge möchte ich Dich bitten :

a.) poste bitte dein gesamtes Log, da Schnipsel nicht wirklich hilfreich sind
b.) lade Dir eScan runter und scanne Dein System bitte (eine Anleitung wie eScan zu benutzen ist und zu updaten, solltest Du hier im Forum locker finden) , das Ende des Logs [also : Anzahl der gescannten Files und gefundener Malware bitte hier posten]

Bitte beachte, dass Du das Scannen des Systemes stets im abgesichterten Modus machst (genau wie das evtl. entfernen später)

Also nochmal : Scanne im abgesichterten Modus.

In diesme Sinne, bis später, wenn es später ist
__________________

__________________

Geändert von FancyAndy (01.03.2005 um 13:24 Uhr) Grund: Schönheitskorrektur

Alt 01.03.2005, 13:56   #3
hopeless
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



hallo

hier schon mal das gesamte logfile.
hab bereits escan im abgesicherten modus durchlaufenlassen. dabei wurde nichts gefunden. allerdings war die einstellung nicht auf all files eingestellt. mach ich also nochmal.
spybot findet immer einen `dso exploit`?!. kann aber auch nicht beseitigt werden...

danke und bis später - ich denke es wird später
grüße
h.


Logfile of HijackThis v1.99.1
Scan saved at 10:30:23, on 01.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\WLANSTA.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Apoint\Apntex.exe
C:\Programme\McAfee\McAfee VirusScan\VsMain.exe
C:\Programme\McAfee\McAfee VirusScan\AlogServ.exe
C:\PROGRA~1\cobra\PLUS10\Programm\cobraTM.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Angekika\Lokale Einstellungen\Temp\Temporäres Verzeichnis 9 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)
F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [monitor] monitor.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%6...%63%6F%6D/?my=
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%6...%63%6F%6D/?my=
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fotopost24.de/XUpload.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...42/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6649C3D3-FD03-4E61-A2FC-7EAA83B3FA15}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1FAB1FE-223F-4C30-B3FD-FA894DEC88FF}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
__________________

Alt 01.03.2005, 14:12   #4
FancyAndy
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



Es gibt da eine menge Einträge, die entfernt werden sollten.

Beispielsweise :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search-area.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search-area.com/?my= (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://search-area.com/?my= (obfuscated)
O13 - DefaultPrefix: http://%73%65%61%72%63%68%2D%61%72%...E%63%6F%6D/?my=
O13 - WWW Prefix: http://%73%65%61%72%63%68%2D%61%72%...E%63%6F%6D/?my=
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fotopost24.de/XUpload.ocx
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

das ist das was ich im Schnellverfahren gerade sehe, aber mir drängt sich da noch ein ganz anderer Verdacht auf, weil ich da etwas sehe was mir net gefällt

F2 - REG:system.ini: Shell=Explorer.exe monitor.exe

Kannst Du bitte mal dein System nach einer "monitor.exe" durchsuchen, diese mir dann via "zip"-file mit passwort (nimm 1234) an folgende Adresse senden
guide-alby[at]gmx.de.
Mir drängt sich da der Verdacht auf, dass da einiges in Deinem System net i.O. ist.

Gruß
Andy
__________________
Fragen, die die Welt nicht braucht (oder doch ?)

Wie setze ich mein System neu auf ?

Alt 01.03.2005, 15:15   #5
dartus
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



Hallo hopeless,

den 023-Eintrag bitte nicht fixen, da Du Wlan benutzt.

Die "monitor.exe" braucht ebenfalls nicht gefixt werden, sofern escan, was ich bezweifle, etwas anderes herausfindet.

Dein Startseitenproblem kannst Du so lösen:

http://www.trojaner-board.de/showpos...24&postcount=8

Ansonsten erstmal Escan abwarten.

dartus


Alt 01.03.2005, 21:49   #6
dartus
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



Hallo nochmal,

siehe den Link, den ich Dir bereits gepostet habe.
Beim Wechsel in den abgesichertem Modus deaktiviere bitte die Systemwiederherstellung.
http://www.systemwiederherstellung-d...indows-xp.html

WINDOWSUPDATEN auf SP2 und ein neues Logfile.

dartus

Alt 01.03.2005, 21:59   #7
hopeless
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



hallo..

hatte bereits die systemwiederherstellung deaktiviert. kann aber trotzdem nicht die von hjt gefundenen probleme fixen. bei neuscan sind immer dieselben probleme da.
außerdem kann ich auch keine mssoft finden...

bitte um antwort für ungeübte...
inzwischen verzweiflete grüße
h.

Alt 01.03.2005, 22:09   #8
dartus
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



Hallo,

hast Du Dir den Beitrag in dem Link genau durchgelesen und auch danach gehandelt? Ist unter Software etwas was Du nicht kennst, was ev. ähnlich heisst?

dartus

Alt 01.03.2005, 22:37   #9
hopeless
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



hallo (dartus),
weiss echt nicht weiter:
hab im abgesichterten modus die systemherstellung deaktiviert, dann hjt und spybot laufen lassen, hab fix checked buttons gedrückt und msalchemie (oä) gelöscht....
was noch? logfile und escanergebnisse hab ich euch ja gepostet.
aber da ist immer noch die search-area.com seite...........
?
grüße
h.

Alt 01.03.2005, 22:42   #10
dartus
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



Hallo,

hast Du die Datei "fix.reg" erzeugt? Findet sich nichts unter Systemsteuerung->Software was Du nicht kennst?

dartus

Alt 02.03.2005, 08:40   #11
hopeless
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



hallo

konnte die startseite ändern und hab ein neues logfile erstellt. ist das so jetzt ok?

was mache ich mit den von escan gefundenen viren? (die McAfee viren hab ich bereits gelöscht)

die fix.reg hab ich noch nicht erstellt...hab nicht verstanden wo ich das hinspeichern soll...

kannst du mir da nochmal helfen?!

vielen dank,
h.

Logfile of HijackThis v1.99.1
Scan saved at 09:23:49, on 02.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\WLANSTA.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\Dell\Bluetooth Software\BTTray.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
C:\Programme\Apoint\Apntex.exe
C:\PROGRA~1\Dell\BLUETO~1\BTSTAC~1.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\McAfee\McAfee VirusScan\VsMain.exe
C:\Programme\McAfee\McAfee VirusScan\AlogServ.exe
C:\Dokumente und Einstellungen\Angekika\Lokale Einstellungen\Temp\Temporäres Verzeichnis 21 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fotopost24.de/XUpload.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...42/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6649C3D3-FD03-4E61-A2FC-7EAA83B3FA15}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1FAB1FE-223F-4C30-B3FD-FA894DEC88FF}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

ergebnis escan:
File C:\Dokumente und Einstellungen\Angekika\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\scroll3.class-6345326e-55439482.class tagged as not-a-virus:JavaClass.TickerTape. No Action Taken.
File C:\Programme\McAfee\McAfee VirusScan\QUARANT\A0011486.exe_.MCQ infected by "Net-Worm.Win32.Sasser.a" Virus. Action Taken: No Action Taken.
File C:\Programme\McAfee\McAfee VirusScan\QUARANT\svchost.exe_.MCQ infected by "Net-Worm.Win32.Welchia.b" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP253\A0052734.exe infected by "Trojan.Win32.Dialer.ec" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP253\A0052737.exe infected by "Trojan.Win32.Dialer.ec" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP253\A0052778.exe infected by "Trojan.Win32.Dialer.ec" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{0FF17727-9F83-4D7C-919C-3A3EAC40F985}\RP253\A0052779.exe infected by "Trojan.Win32.Dialer.ec" Virus. Action Taken: No Action Taken.

Alt 02.03.2005, 09:49   #12
dartus
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



Hi,

Zitat:
Zitat von hopeless
die fix.reg hab ich noch nicht erstellt...hab nicht verstanden wo ich das hinspeichern soll...
einfach unter c:.

Den Rest hier (C:\System Volume Information\_restore) wirst Du so los:

Systemwiederherstellung deaktivieren-->Neustart-->Systemwiederherstellung aktivieren, so wie hier beschrieben:

http://www.systemwiederherstellung-d...indows-xp.html

Folgende Einträge kannst Du noch fixen:
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)


...und WINDOWSUPDATEN auf SP2.

dartus

Alt 02.03.2005, 12:26   #13
hopeless
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



hallo.

hab die systemwiederherstellung deaktiviert, neugestartet und wieder aktiviert. hab die fix.reg gespeichert. windows upgedatet und das ist nun das neue logfile. ist das jetzt ok?

wie ernst muß ich den trojanerbefall nehmen? muß ich wirklich das ganze system neu aufsetzen?

grüße
h.


Logfile of HijackThis v1.99.1
Scan saved at 13:13:10, on 02.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\McAfee\McAfee VirusScan\VsStat.exe
C:\Programme\McAfee\McAfee VirusScan\Vshwin32.exe
C:\Programme\McAfee\McAfee VirusScan\Avconsol.exe
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\McAfee\McAfee Firewall\CPD.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\System32\pctspk.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Dell\QuickSet\QuickSet.exe
C:\WINDOWS\System32\DSentry.exe
C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\WLANSTA.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Angekika\Lokale Einstellungen\Temp\Temporäres Verzeichnis 24 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\Programme\McAfee\McAfee VirusScan\VSCShellExtension.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\QuickSet.exe
O4 - HKLM\..\Run: [DVDSentry] C:\WINDOWS\System32\DSentry.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [McAfee Guardian] "C:\Programme\McAfee\McAfee Shared Components\Guardian\CMGrdian.exe" /SU
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WLANSTA.EXE] WLANSTA.EXE START
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Watch.lnk = C:\WINDOWS\TWAIN_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1109761509793
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.fotopost24.de/XUpload.ocx
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...42/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6649C3D3-FD03-4E61-A2FC-7EAA83B3FA15}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O17 - HKLM\System\CCS\Services\Tcpip\..\{D1FAB1FE-223F-4C30-B3FD-FA894DEC88FF}: NameServer = 192.168.1.1,194.25.2.129,194.25.2.130
O23 - Service: AVSync Manager (AvSynMgr) - Network Associates, Inc. - C:\Programme\McAfee\McAfee VirusScan\Avsynmgr.exe
O23 - Service: Bluetooth Service (btwdins) - Unknown owner - C:\Programme\Dell\Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Firewall - Unknown owner - C:\Programme\McAfee\McAfee Firewall\CPD.EXE" /SERVICE (file missing)
O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Alt 02.03.2005, 13:34   #14
dartus
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



Hallo hopeless,

eine Kompromittierung lag bei Dir nicht vor.
Ein Neuaufsetzen ist daher nicht zwingend notwendig.

Du hast zwar geschrieben, dass Du Dein System upgedatet hast, aber es steht in Deinem Logfile immer noch SP 1.
Aktuell ist SP 2.
Besuch bitte nochmals WINDOWSUPDATE oder bestell Dir die entspr CD bei Microsoft (etwa eine Woche Lieferzeit).

Das Service Paket 2 kannst Du Dir auch downloaden und auf CD brennen:

von Microsoft,

oder hier mit allen bisherigen Updates.

Schau Dir auch die 12 Punkte an.

dartus

Alt 02.03.2005, 14:23   #15
hopeless
 
wer kann mich von der internetstartseite search-area.com befreien? - Standard

wer kann mich von der internetstartseite search-area.com befreien?



vielen, vielen dank für deine hilfe!!!!!
hätte mich alleine nie zurechtgefunden...

grüße
h.

Antwort

Themen zu wer kann mich von der internetstartseite search-area.com befreien?
abgesicherten modus, ad-aware, explorer, explorer.exe, file missing, firewall, folge, hijack, hijackthis, internet explorer, logfile, m.exe, mcafee, mcafee firewall, microsoft, monitor.exe, obfuscated, problem, probleme, programm, programme, seite, shell, software, spybot, startseite, system, system32, windows, windows xp, öffnet



Ähnliche Themen: wer kann mich von der internetstartseite search-area.com befreien?


  1. do-search kann nicht entfernt werden trotz Malware Bites und Avira, Programm nicht mehr sichtbar - do-search trotzdem noch da
    Log-Analyse und Auswertung - 08.12.2013 (21)
  2. Delta-Search hat mich leider auch erwischt
    Plagegeister aller Art und deren Bekämpfung - 09.04.2013 (15)
  3. USB-Stick von Trojaner befreien
    Plagegeister aller Art und deren Bekämpfung - 17.04.2012 (2)
  4. Bluescreen (Paged Fault In Nonpaged Area)
    Alles rund um Windows - 10.09.2011 (2)
  5. von SpyHunter4 und angehängten Trojanern befreien? Wie?
    Plagegeister aller Art und deren Bekämpfung - 20.11.2010 (14)
  6. wallpaper-area sichere seite?
    Plagegeister aller Art und deren Bekämpfung - 06.06.2010 (0)
  7. Internetstartseite lässt sich nicht ändern + pop up´s
    Log-Analyse und Auswertung - 23.05.2009 (7)
  8. internetstartseite
    Log-Analyse und Auswertung - 18.03.2009 (53)
  9. Befallene dateien vom trojanischen Pferd befreien
    Plagegeister aller Art und deren Bekämpfung - 13.09.2008 (7)
  10. Lösung für: Internetstartseite läßt sich nicht einstellen
    Plagegeister aller Art und deren Bekämpfung - 30.10.2007 (0)
  11. Spukschloss von Geistern befreien
    Alles rund um Windows - 05.01.2007 (4)
  12. Neues altes Thema Internetstartseite
    Log-Analyse und Auswertung - 03.09.2005 (3)
  13. search-area.com startseite......
    Log-Analyse und Auswertung - 01.03.2005 (1)
  14. Home Search, Only the best belästigt mich
    Plagegeister aller Art und deren Bekämpfung - 04.11.2004 (31)
  15. Hilfe ! Keine Internetstartseite - shdoclc.dll/dnerror
    Log-Analyse und Auswertung - 20.10.2004 (2)

Zum Thema wer kann mich von der internetstartseite search-area.com befreien? - ich habe folgendes problem: meine internetstartseite öffnet immer mit search-area.com. alle probleme die ad-aware, spybot und HTJ im abgesicherten modus aufgespürt hat, sind nicht dauerhaft zu entfernen. könnt ihr mir - wer kann mich von der internetstartseite search-area.com befreien?...
Archiv
Du betrachtest: wer kann mich von der internetstartseite search-area.com befreien? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.