Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: IE Startseite wird verändert

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 03.05.2004, 21:54   #1
Robert44
 
IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



Hallo zusammen,
wer kann mir helfen?
Mein Laptop leidet offensichtlich unter Spyware.
Die Startseite wird beim Ausloggen immer auf about:blank gesetzt. Beim nächsten Einloggen öffnet sich dann die homepage einer Suchmaschine.
Habe nun schon nächtelang Forums durchstöbert. Die meisten sind in englisch, dem bin ich nicht sonderlich mächtig.
Hoffe daher, hier Hilfe zu bekommen.
Habe über HijackThis schon mal ein log-file erstellt.

Logfile of HijackThis v1.97.7
Scan saved at 03:13:14, on 04.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\ibmpmsvc.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\SRVANY.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\saplpd.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\winvnc.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\tp4serv.exe
C:\WINNT\system32\S3Tray2.exe
C:\WINNT\system32\PRPCUI.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Arbeitsordner\Originalprogramme\A installiert\HijackThis\HijackThis.exe
C:\Programme\Adobe\Acrobat Reader 5.0\Acrobat\Acrobat.exe
C:\Programme\Gemeinsame Dateien\Adobe\Web\AOM.exe
C:\Program Files\Ultralingua\Ultralingua 4\ultralingua.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https=tic-proxy.thyssen.com:8080;http=tic-proxy.thyssen.com:8080;ftp=tic-proxy.thyssen.com:8080;gopher=tic-proxy.thyssen.com:8080;socks=tic-proxy.thyssen.com:8080;
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programme\DAP\DAPIEBar.dll (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat Reader 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {AD9219C4-D710-4EBA-B726-D4F82304BAE4} - C:\WINNT\system32\fgibba.dll
O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\WINNT\system32\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [TPTRAY] C:\PROGRA~1\ThinkPad\UTILIT~1\TP98TRAY.EXE
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QCTray] C:\PROGRA~1\ThinkPad\CONNEC~1\QCTray.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - http://akamai.downloadv3.com/binaries/IA/ia.cab
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{28775BE4-755E-4195-8083-D58D3C865902}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: NameServer = 149.206.84.212,149.206.84.213,
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213

Danke schon mal im Voraus.
Robert

Alt 04.05.2004, 09:11   #2
Lutz
 

IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



Hallo Robert und Willkommen im Board,

versuche es bitte als erstes nach dieser Anleitung:
http://www.trojaner-info.de/anleitun...llow_page.html

Wenn Du mit dem dort genannten Tool Killbox das Problem nicht lösen kannst, wird es (noch) aufwendiger. Bitte melde Dich dann noch einmal.

Gruß,
Lutz
__________________

__________________

Alt 04.05.2004, 21:50   #3
Robert44
 
IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



Hallo Lutz,
danke für den Willkommensgruß und das du deine Zeit für mich opferst.
Habe die Schritte der von dir empfohlenen Anleitung ausgeführt.
PV hat jedoch den Wert 61c00000 61440 nicht gefunden.
Habe die Folgeschritte nicht durchführen können, da ja die zugehörige Datei scheinbar nicht vorhanden ist.
Was kann ich als nächstes tun?

Gruß aus Shanghai
Robert
__________________

Alt 05.05.2004, 08:11   #4
Lutz
 

IE Startseite wird verändert - Pfeil

IE Startseite wird verändert



Hallo Robert,

das habe ich leider befürchtet, denn jetzt wird es noch ein Stück weit komplizierter...

Versuch 1:
Lade Dir das Free eScan Antivirus Toolkit Utility herunter.

***
Hinweis für mitlesende XP-User: Deaktiviert die Systemwiederherstellung!!
Hinweise hierzu: http://www.tu-berlin.de/www/software/virus/sysres.shtml
***


Starte Deinen Rechner im abgesicherten Modus.
Hinweise hierzu: http://www.trojaner-board.de/63335-w...s-starten.html

Fixe mit HijackThis die folgenden Einträge:
</font><blockquote>Zitat:</font><hr />
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\fgibba.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {0096CC0A-623C-4829-AD9C-19AF0DC9D8FE} - C:\Programme\DAP\DAPIEBar.dll (file missing)
O2 - BHO: (no name) - {AD9219C4-D710-4EBA-B726-D4F82304BAE4} - C:\WINNT\system32\fgibba.dll
O2 - BHO: UCmore toolbar - {ED8DB0FD-D8F4-4b2c-BB5B-9EF040FE104D} - (no file)
</font>[/QUOTE]Starte anschließend das o. g. Tool. Wähle bei Scan Option (sofern nicht voreingestellt)
Memory
Startup Folders
Drive
All local Drive
Registry
System Folders
Services
und
Scan All Files
anschließend starte mit Scan Clean

Wenn Du 'Glück' hast, hat der Scanner zugeschlagen und die infizierten Dateien entfernen können...


Versuch 2:
Lade dir hier: http://www10.brinkster.com/expl0iter...ast/PVtool.htm
xfind.zip herunter entpacke es in ein extra Verzeichniss und starte die find.bat. Wenn die Dos-Box wieder geschlossen wurde, schaue dir die files.txt in dem selben Verzeichniss an, und schreibe dir den Dateinamen, der dort auftaucht, auf.

Anschließend versuche, die mit xfind (hoffentlich!!) gefundene dll mit der Killbox (siehe die verlinkte Anleitung in meiner ersten Antwort) zu löschen.
Wenn Killbox die Datei nicht löschen kann, musst du mit Hilfe der Wiederherstellungskonsole die Datei löschen bzw. umbenennen.
Hinweis zur Wiederherstellungskonsole:
http://www.windowspower.de/article366.html

Ich hoffe, Du hast noch ein paar DOS-Kenntnisse in bezug auf Datei löschen, bzw. Datei umbennennen und 'navigieren' unter DOS?!?

Evtl. Referenzen auf die Datei in der Registrierung must du nach einem Neustart ebenfalls löschen. Das kannst Du dann mit HijackThis machen. Es wäre gut, wenn Du uns auf jeden Fall am Ende Deiner Aktionen ein aktuelles Log hier postest.

Gruß,
Lutz
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 05.05.2004, 12:46   #5
ninjamicha
 
IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



hallo hatte das selbe problem glaube ich !wenn der link funzt schau mal wenn nicht suche doch meine beitrag ! ich hatte das problem in einer stunde gelöst ! die probleme waren auf jeden fall die gleichen !
http://www.trojaner-board.de/forum/u...c;f=6;t=005284


Alt 05.05.2004, 12:56   #6
Lutz
 

IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



Hallo ninjamicha,

</font><blockquote>Zitat:</font><hr />...hatte das selbe problem glaube ich...</font>[/QUOTE]leider (oder zum Glück für Dich ) handelte es sich bei Dir um einen vergleichsweise 'harmlosen' Hijacker...
Aber ich freue mich natürlich trotzdem, dass wir dir helfen konnten. [img]smile.gif[/img]

Gruß,
Lutz
__________________
--> IE Startseite wird verändert

Alt 05.05.2004, 14:44   #7
zulu
 
IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



Hi Lutz,

wenn ich bei mir &lt;&lt; Free eScan Antivirus Toolkit Utility&gt;&gt; starte, bekommt das mein KAV nicht mit, hmm. Ich habe zwar keine Würmer etc., aber warum bemerkt er das net ??

&lt;&lt;Your Antivirus failes in this test!!&gt;&gt;

Mach ich da vielleicht einen Denkfehler ?

Cu

Alt 05.05.2004, 21:07   #8
zulu
 
IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



Ist die Anfrage nicht deutlich genug ?


................... oder einfach nur zu leicht.

Alt 05.05.2004, 21:21   #9
Nangie
 

IE Startseite wird verändert - Pfeil

IE Startseite wird verändert



@ zulu
mmmhh - wird wohl keiner eine Antwort wissen,genau wie ich - versuch es doch mal bei KAV Support .
__________________
MfG Nangie

Es ist einzig und allein der Mensch, der aus der Welt ein Armenhaus gemacht hat.

Lilo Keller (*1934) nachdenkliche Hausfrau

Alt 05.05.2004, 21:34   #10
zulu
 
IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



Ja, aber es haben doch noch andere hier den KAV und da könnte man Vergleiche anstellen.


Cu

Alt 05.05.2004, 21:39   #11
Nangie
 

IE Startseite wird verändert - Pfeil

IE Startseite wird verändert



Sicher - aber ich nicht - Sorry das ich dir nicht helfen kann

Nicht verzagen - weiter fragen
__________________
MfG Nangie

Es ist einzig und allein der Mensch, der aus der Welt ein Armenhaus gemacht hat.

Lilo Keller (*1934) nachdenkliche Hausfrau

Alt 06.05.2004, 18:40   #12
Lutz
 

IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



Hi Zulu,

so ganz verstehe ich Deine Frage nicht?
Warum sollte KAV da etwas merken?
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 06.05.2004, 21:15   #13
zulu
 
IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



Hi Lutz,

wie gesagt, Denkfehler. Ich dachte eigentlich, das Tool dient zum Testen Der Antivirenproggis, hmm.

Es simuliert gewisse Würmer etc. und der KAV sollte anspringen.


Cu

Alt 07.05.2004, 11:11   #14
Robert44
 
IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



Hi Lutz,
habe Versuch 1 durchgeführt.
Hat zwar ewig gedauert, dafür jedoch super funktioniert. Ich will den Tag nicht vor dem Abend loben, aber ich glaube, mein System ist wieder clean.
Anbei wie gewünscht den neusten Hijack Scan:
Logfile of HijackThis v1.97.7
Scan saved at 05:35:36, on 07.05.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\QCONSVC.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\SRVANY.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\saplpd.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\winvnc.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\tp4serv.exe
C:\WINNT\system32\S3Tray2.exe
C:\WINNT\system32\PRPCUI.exe
C:\WINNT\system32\RunDll32.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\WINNT\system32\ICO.EXE
C:\WINNT\system32\Pelmiced.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Arbeitsordner\Originalprogramme\A installiert\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https=tic-proxy.thyssen.com:8080;http=tic-proxy.thyssen.com:8080;ftp=tic-proxy.thyssen.com:8080;gopher=tic-proxy.thyssen.com:8080;socks=tic-proxy.thyssen.com:8080;
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat Reader 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [WinVNC] "C:\WINNT\system32\winvnc.exe" -servicehelper
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [BMMLREF] C:\Programme\ThinkPad\Utilities\BMMLREF.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPMN] C:\Programme\ThinkPad\Utilities\TpKmapMn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CCS\Services\Tcpip\..\{28775BE4-755E-4195-8083-D58D3C865902}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: Domain = thyssen.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB5CDD23-70B2-453D-9DC8-4F6E1A71A7D4}: NameServer = 149.206.84.212,149.206.84.213,
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: Domain = thyssen.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{02E7990E-8D7D-4FB9-AE52-1534AD132006}: NameServer = 149.206.84.212,149.206.84.213

Hab das ganze, wie die TU Berlin vorschlägt, 2 mal gescannt und auch schon über die Windows Update Funktion alle Patches installiert.

Folgendes noch:
eScan meldet, das da wohl noch verseuchte Dateien sind, hat aber "no action taken".
So was wie
Riskware.Dialer.E-Group.1025 "EGDial.dll"
Riskware.RemoteAdmin.WinVNC.333 "vncviewer.exe"
Tool.Win32.Reboot "_MSRSTRT.Exe"
Tool.Win32.Reboot "PTEEEVAL.Exe" (ist 2 mal da, siehe unten)
Tool.Win32.Reboot "DivX50LBundle"
Tool.Win32.Reboot "PTEEEval.Exe"
PornWare.Dialer.IA
Die letzte Datei befindet sich in einem Backup von HijackThis
Allen Zeilen voran gestellt ist: not a virus

Ist das System doch nicht sauber???

Robert

Alt 07.05.2004, 11:53   #15
Lutz
 

IE Startseite wird verändert - Beitrag

IE Startseite wird verändert



Hallo Robert,

das Log sieht im Moment sauber aus! [img]graemlins/daumenhoch.gif[/img]
Wollen wir hoffen, dass es so bleibt.

Diesen Eintrag solltest Du noch fixen, da er ohnehin verwaist ist:
</font><blockquote>Zitat:</font><hr />O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - </font>[/QUOTE]Folgendes kannst du noch fixen. Ist zwar ungefährlich, kann aber unter Umständen dein Laptop ein wenig ausbremsen.

</font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot </font>[/QUOTE]Gestolpert bin ich im ersten Moment über diesen Eintrag:
</font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE </font>[/QUOTE]Aus dem Log lese ich, dass es sich um ein IBM ThinkPad handelt und lt. http://www.sysinfo.org/startuplist.p...E&count=&type= findet man die ICO.exe eher auf einem Sony-Laptop. Wenn Du ganz sicher gehen willst, kannst Du die Datei mal bei Kaspersky überprüfen.

</font><blockquote>Zitat:</font><hr /> Riskware.RemoteAdmin.WinVNC.333 "vncviewer.exe" </font>[/QUOTE]Aufgrund der Proxy-Einstellungen unter R0 vermute ich, dass es sich um einen Firmen-Laptop handelt. Wenn richtig, und es bei Euch üblich ist, dass Rechner/Laptops über VNC ferngewartet/ferngesteuert werden, ist der Eintrag imho OK.
BTW: Was sagt denn Eure IT dazu, wenn Du aus dem Internet Programme wie eScan herunterlädst und ausführst?!?

</font><blockquote>Zitat:</font><hr />
Riskware.Dialer.E-Group.1025 "EGDial.dll"
Tool.Win32.Reboot "_MSRSTRT.Exe"
Tool.Win32.Reboot "PTEEEVAL.Exe" (ist 2 mal da, siehe unten)
Tool.Win32.Reboot "DivX50LBundle"
Tool.Win32.Reboot "PTEEEval.Exe"
PornWare.Dialer.IA
</font>[/QUOTE]Die beiden Dialer würde ich löschen.
Zu den anderen Dateien kann ich spontan nichts sagen. Diese sind mir unbekannt. Wo liegen die Dateien denn (genauer Pfad)?
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Antwort

Themen zu IE Startseite wird verändert
.com, adobe, bho, dateien, dll, drivers, einloggen, explorer, file missing, ftp, google, hijack, hijackthis, hilfe, homepage, hotkey, internet, internet explorer, log-file, microsoft, nicht, obfuscated, object, programme, rundll, shockwave, software, system, tcpip, unter, windows, öffnet



Ähnliche Themen: IE Startseite wird verändert


  1. Windows 8, Firefox-Startseite verändert und komische Toolbar nach Installation von FileZilla
    Log-Analyse und Auswertung - 08.04.2015 (9)
  2. Startseite verändert, falsche Seiten öffnen sich 22find...
    Log-Analyse und Auswertung - 24.04.2014 (5)
  3. http://www.searchnu.com/410 - Startseite wurde im Brouwser verändert!
    Log-Analyse und Auswertung - 23.04.2012 (9)
  4. IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (11)
  5. IE startseite verändert und virusmeldung
    Plagegeister aller Art und deren Bekämpfung - 24.08.2008 (3)
  6. Startseite hat sich plötzlich verändert
    Log-Analyse und Auswertung - 01.10.2006 (6)
  7. Startseite wurde verändert, hier die einfachste Lösung
    Plagegeister aller Art und deren Bekämpfung - 30.10.2005 (6)
  8. Startseite und Hintergrundbild verändert
    Log-Analyse und Auswertung - 27.10.2005 (8)
  9. Startseite verändert
    Mülltonne - 20.09.2005 (4)
  10. Auch bei mir Startseite verändert
    Plagegeister aller Art und deren Bekämpfung - 08.02.2005 (4)
  11. Toolbar und Startseite verändert
    Log-Analyse und Auswertung - 16.01.2005 (4)
  12. Startseite verändert, popups und Seiten öffnen sich willkürlich
    Plagegeister aller Art und deren Bekämpfung - 12.12.2004 (12)
  13. startseite verändert
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (1)
  14. Startseite meines Internet Explorers verändert!!!
    Plagegeister aller Art und deren Bekämpfung - 09.11.2004 (5)
  15. werbung in der iexplorer-leiste, popup, startseite verändert
    Plagegeister aller Art und deren Bekämpfung - 24.10.2004 (7)
  16. HiJackThis Log von Chiara (Startseite verändert sich)
    Log-Analyse und Auswertung - 02.09.2004 (7)
  17. Hilfe!! Startseite IE wird verändert
    Plagegeister aller Art und deren Bekämpfung - 22.04.2004 (43)

Zum Thema IE Startseite wird verändert - Hallo zusammen, wer kann mir helfen? Mein Laptop leidet offensichtlich unter Spyware. Die Startseite wird beim Ausloggen immer auf about :blank gesetzt. Beim nächsten Einloggen öffnet sich dann die homepage - IE Startseite wird verändert...
Archiv
Du betrachtest: IE Startseite wird verändert auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.