Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner - Startseite - ALLES versucht!!!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.05.2004, 15:33   #1
Neo25
 
Trojaner - Startseite - ALLES versucht!!! - Icon24

Trojaner - Startseite - ALLES versucht!!!



Hallo,
ich habe seit gestern einen Trojaner, welcher meine Startseite verstellt. Ich habe schon alles mögliche ausprobiert um ihn zu löschen, aber der will nicht weg javascript:void(0)
javascript:void(0). Vielleicht fällt euch ja noch was ein. Hier mein HijackThis-Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 16:20:25, on 26.05.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
D:\EigeneDats\DOWNLOAD\Tools\mozilla\bin\mozilla.exe
C:\Dokumente und Einstellungen\Neo\Desktop\hijackthis1977\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php*
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php*
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php*
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php*
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php*
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php*
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Brennen\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\System32\bridge.dll",Load
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Zahlungserinnerung.lnk = D:\HCW\wzed.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://www.ipswitch.com/_installs/wsftp_le/setup.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C1FC0B0-4129-4E9E-BEFB-702F58928A7F}: NameServer = 192.168.0.250


Vielen Dank
Neo25


[img]graemlins/heulen.gif[/img]

[ 26. Mai 2004, 16:40: Beitrag editiert von: Neo25 ]

Alt 26.05.2004, 15:43   #2
peter (ewido)
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Versuch's wenn möglich mal bitte mit der neusten ewido security suite (http://www.ewido.net), die sollte das nun eigentlich erkennen und entfernen können, würde mich echt mal interessieren, ob's hinhaut, danke [img]smile.gif[/img]
__________________


Alt 26.05.2004, 15:56   #3
peter (ewido)
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Ach ja wichtig... sollte was gefunden werden, danach mittels HJT folgende Einträge fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php*
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php*
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = *http://cashsearch.biz/redir1.php*
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = *http://cashsearch.biz/redir1.php*
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php*
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = *http://cashsearch.biz/redir1.php*
__________________

Alt 26.05.2004, 17:46   #4
Neo25
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Der Scan-Report sieht so aus:

---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 18:43:16, 26.05.2004
+ Report-Checksumme: 909CECB7

+ Datum der Signaturen: Keine Signaturen vorhanden!
+ Version der Scanengine: v1.1

+ Suchdauer: 34 min
+ Untersuchte Dateien: 60477
+ Geschwindigkeit: 29.56 Dateien/Sekunden
+ Infizierte Dateien: 0
+ Entfernte Dateien: 0
+ Unter Quarantäne gestellte Dateien: 0
+ Dateien, die nicht geöffnet werden konnten: 25
+ Dateien, die nicht gesäubert werden konnten: 0


+ Endung ignorieren: Ja
+ Binder: Ja
+ Crypter: Ja
+ Speicher: Nein
+ Archive: Nein
+ Heuristik: Nein

+ Gescannt wurde:
C:\
D:\
E:\
F:\
G:\

+ Scanergebnis:
C:\PAGEFILE.SYS -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\system.LOG -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\software.LOG -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\default.LOG -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SECURITY -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SAM -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SAM.LOG -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SECURITY.LOG -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SYSTEM -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\DEFAULT -> Datei konnte nicht geöffnet werden
C:\WINDOWS\system32\config\SOFTWARE -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\Neo\NTUSER.DAT -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\Neo\NTUSER.DAT.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\Neo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\Neo\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG -> Datei konnte nicht geöffnet werden
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\BargainBuddy7.zip -> Datei konnte nicht geöffnet werden
C:\hiberfil.sys -> Datei konnte nicht geöffnet werden


::Report Ende

Alt 26.05.2004, 17:49   #5
Neo25
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Sind die Dateien nicht lesbar, weil sie vom Virus befallen sind???
Wenn ja, was sollte ich dann am besten tun?


Alt 26.05.2004, 18:22   #6
peter (ewido)
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Nein, aber du musst schon die Signaturen laden

</font><blockquote>Zitat:</font><hr />Datum der Signaturen: Keine Signaturen vorhanden!</font>[/QUOTE]

Alt 26.05.2004, 18:42   #7
Shadow
/// Mr. Schatten
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



</font><blockquote>Zitat:</font><hr />Original erstellt von Neo25:
Sind die Dateien nicht lesbar, weil sie vom Virus befallen sind???
Wenn ja, was sollte ich dann am besten tun?
</font>[/QUOTE]Nein, dass sind ganz "normale" System-Dateien (Benutzerdatenbank, Auslagerungsdatei, etc...) die glücklicherweise vom Betriebssystem geschützt werden.
Warum allerdings die Software es nicht schafft im Gegensatz zu anderen Programmen darüber zu schweigen (zumindestens im DAU-Modus) und unerfahrene User schreckt, kapier ich nicht.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 26.05.2004, 19:25   #8
Lutz
 

Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Hallo Neo,

such mal auf Deinem Rechner nach dieser Datei: C:\WINDOWS\system32\system32.dll
und überprüfe diese online bei Kaspersky -&gt; http://www.kaspersky.com/de/scanforvirus.html

Fast würde ich wetten, dass es diese Datei auf dem Rechner gibt und diese als infiziert gemeldet wird...
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 26.05.2004, 21:14   #9
peter (ewido)
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Ja diese Datei ist zu, 99,999% "infiziert" und würde auch mit Signaturen von ewido erkannt werden [img]smile.gif[/img]

</font><blockquote>Zitat:</font><hr />Warum allerdings die Software es nicht schafft im Gegensatz zu anderen Programmen darüber zu schweigen (zumindestens im DAU-Modus) und unerfahrene User schreckt, kapier ich nicht.</font>[/QUOTE]Naja, weil es in Tests Punktabzug gibt [img]smile.gif[/img]
Werden aber bald bestimmte Dateien, von denen man echt sicher sagen kann, sie sind Windows-Dateien, ausblenden... Bleiben trotzdem noch einige übrig, von daher... naja... kann man eigentlich gleich alle anzeigen [img]smile.gif[/img]

Alt 26.05.2004, 21:27   #10
Neo25
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Habe die Datei gefunden und geprüft.
Sie war vom Virus befallen. Ist das überhaupt eine Systemdatei??? Wenn nicht, kann ich sie doch einfach löschen, oder?

Alt 26.05.2004, 21:37   #11
peter (ewido)
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Ist keine Systemdatei - weg damit [img]smile.gif[/img]

Alt 26.05.2004, 21:43   #12
Neo25
 
Trojaner - Startseite - ALLES versucht!!! - Icon22

Trojaner - Startseite - ALLES versucht!!!



Juhu!!!
Ich glaube ich bin ihn los.
Ich habe die System32.dll im Abgesicherten Modus gelöscht, nach einem Neustart HJT nochmal ausgefürt und die "bösen Sachen" gefixt. Jetzt werde ich noch einen Neustart machen. Aber bis jetzt sieht's schon mal sehr gut aus!!!javascript:void(0)
javascript:void(0)

Alt 26.05.2004, 21:48   #13
peter (ewido)
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Scan lieber trotzdem nochmal drüber, das Teil hat auf meinem Testsystem einige andere Sachen noch nachgeladen und nicht nur ins Windows-Verzeichnis gepackt...

Alt 26.05.2004, 21:50   #14
Neo25
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Wird sofort gemacht!
...Und diesmal mit Signaturen javascript:void(0)
javascript:void(0)

Alt 26.05.2004, 21:59   #15
Neo25
 
Trojaner - Startseite - ALLES versucht!!! - Beitrag

Trojaner - Startseite - ALLES versucht!!!



Oh, der findet ja wirklich noch ein paar dateien!
Sollte man wirklich Sicherheitskopien in der Quarantäne anlegen lassen???

Antwort

Themen zu Trojaner - Startseite - ALLES versucht!!!
192.168.0.2, adobe, antivirus, bho, desktop, download, einstellungen, excel, explorer, google, hijack, internet, internet explorer, kaspersky, löschen, mozilla, nicht, nvcpl.dll, object, programme, rundll, shockwave, software, symantec, system, tcpip, trojaner, webroot, will nicht, windows, windows xp



Ähnliche Themen: Trojaner - Startseite - ALLES versucht!!!


  1. Meendo.com (Pornoseite) als Startseite - schon alles Versucht. Malwarbytes, Antivir und Spybot
    Log-Analyse und Auswertung - 21.01.2012 (8)
  2. bitte um hilfe alles versucht ohne erfolg
    Log-Analyse und Auswertung - 01.04.2009 (24)
  3. Ukraine trojaner - alles versucht, nichts geklappt
    Plagegeister aller Art und deren Bekämpfung - 28.12.2008 (30)
  4. Ukraine trojaner - alles versucht, nichts geklappt
    Mülltonne - 27.12.2008 (0)
  5. Hatte Spyware, habe nun selbst versucht, hat alles geklappt ?
    Log-Analyse und Auswertung - 21.10.2008 (1)
  6. Laptop stockt bei jeder Anwendung, schon alles versucht...
    Log-Analyse und Auswertung - 03.12.2007 (0)
  7. Iexplorer.exe - Alles versucht, nix geholfen :(
    Plagegeister aller Art und deren Bekämpfung - 05.06.2007 (12)
  8. Schon alles versucht: Bitte um Hilfe (Logfile)
    Log-Analyse und Auswertung - 23.05.2007 (12)
  9. Dringend Hilfe!!! Hab Schon Alles Versucht!!
    Log-Analyse und Auswertung - 30.01.2006 (16)
  10. WinXP startet nicht mehr, alles versucht!
    Plagegeister aller Art und deren Bekämpfung - 09.11.2005 (1)
  11. Mit PSGuard infiziert - schon fast alles versucht
    Log-Analyse und Auswertung - 18.10.2005 (18)
  12. IE zwingt mich auf Seite, WIN 98, alles schon versucht
    Plagegeister aller Art und deren Bekämpfung - 01.05.2005 (2)
  13. hab schon fast alles versucht...
    Log-Analyse und Auswertung - 03.03.2005 (3)
  14. auweh... alles versucht: mittel gegen neuen backdoor.agent.bt
    Log-Analyse und Auswertung - 06.12.2004 (20)
  15. Habe alles versucht ...
    Log-Analyse und Auswertung - 07.09.2004 (11)
  16. Alles versucht .... problem noch da...hier logs
    Log-Analyse und Auswertung - 29.06.2004 (4)
  17. Win2000 Nutzer, habe ebenfalls schon alles versucht!
    Plagegeister aller Art und deren Bekämpfung - 02.06.2004 (6)

Zum Thema Trojaner - Startseite - ALLES versucht!!! - Hallo, ich habe seit gestern einen Trojaner, welcher meine Startseite verstellt. Ich habe schon alles mögliche ausprobiert um ihn zu löschen, aber der will nicht weg javascript :void(0) javascript :void(0). - Trojaner - Startseite - ALLES versucht!!!...
Archiv
Du betrachtest: Trojaner - Startseite - ALLES versucht!!! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.