Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: res://rewmu.dll/index.html#37794

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.07.2004, 12:40   #1
Basileus
 
res://rewmu.dll/index.html#37794 - Standard

res://rewmu.dll/index.html#37794



Hallo, Kollege hat einen Hijacker auf dem Rechner, der als Startseite nach res://rewmu.dll/index.html#37794 lenkt, irgend so eine obskure Suchseite mit gefakter Spyware-Warnung ("Please download our free spyware-removal-tool..." ).

Spybot findet das zwar und löscht das, aber es kommt trotzdem immer wieder.

Was kann ich noch tun?

Alt 26.07.2004, 14:16   #2
*Christian*
Gast
 
res://rewmu.dll/index.html#37794 - Standard

res://rewmu.dll/index.html#37794



Lass mal scannen: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein HijackThis-Log, damit wir das Teilchen vollständig entfernen können.
__________________


Alt 26.07.2004, 15:45   #3
Basileus
 
res://rewmu.dll/index.html#37794 - Standard

res://rewmu.dll/index.html#37794



So.... ich glaube, der Scan mit eScan und HijackThis hat geholfen:

HijackThis-Log nach eScan:

Zitat:
Logfile of HijackThis v1.98.0
Scan saved at 16:30:25, on 26.07.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\Stenner\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\rewmu.dll/sp.html#37794
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://rewmu.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://rewmu.dll/index.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\rewmu.dll/sp.html#37794
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\rewmu.dll/sp.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://rewmu.dll/index.html#37794
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;192.168.183.41;<local>
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {4D35431D-E567-8993-507C-00CFF52F11C3} - C:\WINNT\system32\sdkut32.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - Global Startup: klickTel - Schnellstarter - 32-Bit.lnk = ?
O4 - Global Startup: TurboNote.lnk = C:\Programme\TurboNote\tbnote.exe
O4 - Global Startup: WinZip Quick Pick.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3BED234-F726-468F-8DC8-43FD6D8263C1}: NameServer = 172.23.1.100,172.23.1.101
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = wkd.wolterskluwer.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = wkd.wolterskluwer.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = wkd.wolterskluwer.de
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll

__________________

Alt 26.07.2004, 15:46   #4
Basileus
 
res://rewmu.dll/index.html#37794 - Standard

res://rewmu.dll/index.html#37794



Und dann nach Analyse und Reingung:

Zitat:
Logfile of HijackThis v1.98.0
Scan saved at 16:33:32, on 26.07.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\Stenner\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;192.168.183.41;<local>
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - Global Startup: klickTel - Schnellstarter - 32-Bit.lnk = ?
O4 - Global Startup: TurboNote.lnk = C:\Programme\TurboNote\tbnote.exe
O4 - Global Startup: WinZip Quick Pick.lnk.disabled
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{E3BED234-F726-468F-8DC8-43FD6D8263C1}: NameServer = 172.23.1.100,172.23.1.101
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = wkd.wolterskluwer.de
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = wkd.wolterskluwer.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = wkd.wolterskluwer.de
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll

Oder?

Alt 26.07.2004, 23:12   #5
*Christian*
Gast
 
res://rewmu.dll/index.html#37794 - Standard

res://rewmu.dll/index.html#37794



Hast du denn das Problem noch?

Dies würde ich noch rausmachen:
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll

Die Datei C:\WINNT\msopt.dll dann auch noch manuell löschen.

Unbedingt www.windowsupdate.com besuchen und alle Sicherheitsupdates und Patches installieren.

Außerdem wäre es ratsam einen anderen Browser zu verwenden, wenn du das Problem nicht gleich wieder haben willst: www.firefox-browser.de ist schnell, sicher und kostenlos.


Geändert von *Christian* (27.07.2004 um 20:58 Uhr)

Alt 27.07.2004, 07:44   #6
Basileus
 
res://rewmu.dll/index.html#37794 - Standard

res://rewmu.dll/index.html#37794



Geht nicht... Firmenpolitik.


Aber Danke.


btw. In Deinem Link ist ein Tippfehler.

Antwort

Themen zu res://rewmu.dll/index.html#37794
als startseite, confused, download, free, heulen, hijacker, irgend, kollege, lösch, löscht, please, rechner, seite, startseite, suchseite



Ähnliche Themen: res://rewmu.dll/index.html#37794


  1. Google + FB öffnen nicht über Firefox. Neuer Tab Meldung chrome://quick_start/content/index.html
    Plagegeister aller Art und deren Bekämpfung - 20.11.2014 (9)
  2. chrome://quick_start/content/index.html in Firefox-Tab
    Log-Analyse und Auswertung - 02.10.2014 (6)
  3. chrome://quick_start/content/index.html
    Plagegeister aller Art und deren Bekämpfung - 04.09.2014 (2)
  4. chrome://quick_start/content/index.html entfernen?
    Plagegeister aller Art und deren Bekämpfung - 30.08.2014 (17)
  5. chrome://quick_start/content/index.html in Firefox-Tab
    Log-Analyse und Auswertung - 18.07.2014 (15)
  6. Windows Vista / Firefox / chrome://quick_start/content/index.html
    Log-Analyse und Auswertung - 14.07.2014 (15)
  7. Trojaner chrome://quick_start/content/index.html -
    Log-Analyse und Auswertung - 03.06.2014 (1)
  8. chrome://quick_start/content/index.html entfernen?
    Plagegeister aller Art und deren Bekämpfung - 19.05.2014 (9)
  9. Unbekannter Virus verseucht alle index.html/php Dateien auf dem Server!
    Plagegeister aller Art und deren Bekämpfung - 19.12.2010 (4)
  10. iframe Virus schreibt sich in index.html Seiten
    Plagegeister aller Art und deren Bekämpfung - 09.08.2007 (2)
  11. iframe Virus schreibt sich in index.html Seiten
    Plagegeister aller Art und deren Bekämpfung - 05.05.2007 (12)
  12. Trojaner ? res://msaps.dll/index.html
    Log-Analyse und Auswertung - 13.01.2005 (11)
  13. Bekomm das nicht weg "res://msaps.dll/index.html"
    Plagegeister aller Art und deren Bekämpfung - 08.10.2004 (12)
  14. index.dat
    Alles rund um Windows - 21.08.2004 (2)
  15. HILFE: Wer kennt res://C:\WINNT\vxkpk.dll/index.html#96676
    Log-Analyse und Auswertung - 13.08.2004 (14)
  16. Hilfe: res://lyzcp.dll/index.html#37049
    Log-Analyse und Auswertung - 15.07.2004 (1)
  17. res://mshp.dll/index.html
    Plagegeister aller Art und deren Bekämpfung - 28.05.2004 (1)

Zum Thema res://rewmu.dll/index.html#37794 - Hallo, Kollege hat einen Hijacker auf dem Rechner, der als Startseite nach res://rewmu.dll/index.html#37794 lenkt, irgend so eine obskure Suchseite mit gefakter Spyware-Warnung ("Please download our free spyware-removal-tool..." ). Spybot findet - res://rewmu.dll/index.html#37794...
Archiv
Du betrachtest: res://rewmu.dll/index.html#37794 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.