Meine Startseite läßt sich nicht mehr ändern. Es ist zwar immer noch die Seite, die ich selbst eingetragen habe und das Feld ist auch offen. Aber wenn ich eine neue Seite eintrage (egal ob bei den Internetoptionen oder direkt in der Registrierung) wird diese sofort wieder durch die alte ersetzt...

Hallo, a.-hoffmann,
bitte sei so gut und poste ein neues HijackThis Log : http://www.trojaner-board.de/51130-a...ijackthis.html
damit wir Dir weiterhelfen können.

Logfile of HijackThis v1.98.2
Scan saved at 16:05:19, on 21.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
E:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
E:\Programme\NoPopUp 2003\nopopup.exe
E:\Programme\Steganos AntiDialer 6\guard.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Program Files\AMD\PowerNow!\GemServ.exe
C:\Program Files\AMD\PowerNow!\gemback.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Programme\Paid4\CashCrawler\cashcrawler_surfbar.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
F:\Eigene Dateien\Software\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cashcrawler.de/open/?id=ahoffmann
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KAVPersonal50] E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [AWMON] "E:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535
O4 - HKCU\..\Run: [NoPopUp] E:\Programme\NoPopUp 2003\nopopup.exe /autorun
O4 - HKCU\..\Run: [Steganos AntiDialer 6] "E:\Programme\Steganos AntiDialer 6\guard.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [PopUpStopperProfessional] "E:\Programme\Panicware\Pop-Up Stopper Professional\PopUpStopperProfessional.exe"
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096993825194
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab

Hi,

kontrollieren und danach fixen:



E:\Programme\Paid4\CashCrawler\cashcrawler_surfbar .exe

--------------
Bitte mit escan oder online virus scan prüfen (z.B.: http://www.kaspersky.com/de/remoteviruschk.html)

C:\WINDOWS\system32\slserv.exe --> könnte W32/Gaobot.CR virus

--------------


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cashcrawler.de/open/?id=ahoffmann



O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535



O4 - HKCU\..\Run: [NoPopUp] E:\Programme\NoPopUp 2003\nopopup.exe /autorun

Greetz
Blackdog

Hmm, danke. Aber soweit war ich schon. Ist alles in Ordnung, außer daß ich dieses Teil hier heute schonmal gelöscht habe:

Zitat:

O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535

Hab auch keine Ahnung was das sein soll...

Ich fixe es mal nochmal...

Zitat:

Zitat von a.-hoffmann

Hmm, danke. Aber soweit war ich schon. Ist alles in Ordnung, außer daß ich dieses Teil hier heute schonmal gelöscht habe:

Hab auch keine Ahnung was das sein soll...

Ich fixe es mal nochmal...

Boah, die Datei kann ich fixen, so oft ich will, die geht nicht weg...

Kann mir jemand sagen, ob ich die über den Explorer einfach löschen kann, oder ist die wichtig?

Die nennt sich comctl32.dll

@ a.-hoffmann

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This:

O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535

Lösche dann die
C:\WINDOWS\WinSxS\InstallTemp\12031535

Boote in den normalen Modus, aktiviere die Systemwiederherstellung.

Alles was Du bei WindowsXP löschen willst, muss bei deaktivierter Systemwiederherstellung geschehen .. siehe Link.

Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com.

SD

Okay, danke. Werde ich mal ausprobieren.

Ich wollte es gerade mit dem Rücksetzen auf ein Datum probieren, an dem ich die Startseite noch ändern konnte, aber dieses Viech hat mir alle Systemwiederherstellungspunkte gelöscht...

Hab alles Schritt für Schritt befolgt, aber das Teil läßt sich auch mit deaktivierter Systemwiederherstellung und im abgesicherten Modus nicht wirklich löschen

Die seltsame Datei ist weg, aber HijackThis zeigt mir immer noch den Eintrag

Zitat:

O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535

an...

Die Startseite lässt sich auch immer noch nicht ändern...

Bleibt nur noch formatieren, oder gibt es sonst noch eine Möglichkeit?

Das ist jetzt bißchen wild geraten, aber eventuell hat das etwas mit der relativ neuen jpeg-Sicherheitslücke zu tun. Hast du nach dem Servicepack 2 die aktuellen Windowsupdates regelmäßig aufgespielt? Ich denke nein, du solltest das nachholen bzw, gleich SP 2 installieren.

Scanne deinen Rechner mal mit diesem Programm:

http://isc.sans.org/gdiscan.php

Welche Datei ist denn genau weg? Nach HJT hat die 12031535 ja gar keine richtige Endung. Ist in dem Ordner C:\WINDOWS\WinSxS\InstallTemp\ denn noch irgendwas vorhanden? Poste bitte auch noch mal ein aktuelles HJT-Log.

Zitat:

Zitat von MountainKing

Das ist jetzt bißchen wild geraten, aber eventuell hat das etwas mit der relativ neuen jpeg-Sicherheitslücke zu tun. Hast du nach dem Servicepack 2 die aktuellen Windowsupdates regelmäßig aufgespielt? Ich denke nein, du solltest das nachholen bzw, gleich SP 2 installieren.

Scanne deinen Rechner mal mit diesem Programm:

http://isc.sans.org/gdiscan.php

Welche Datei ist denn genau weg? Nach HJT hat die 12031535 ja gar keine richtige Endung. Ist in dem Ordner C:\WINDOWS\WinSxS\InstallTemp\ denn noch irgendwas vorhanden? Poste bitte auch noch mal ein aktuelles HJT-Log.

SP2 will ich nicht draufmachen, da hab ich schon soviel negatives drüber gehört...

Das HJT-Log hat sich nicht verändert, denn wie gesagt, ich kriege den Eintrag nicht raus.

Gelöscht ist bis jetzt nur die Datei comctl32.dll aus dem Ordner C:\WINDOWS\WinSxS\InstallTemp\
Der Ordner C:\WINDOWS\WinSxS\InstallTemp\ ist jetzt leer, wie bei den anderen WinXP-Rechnern, die ich hier zum Vergleichen habe, auch.

Ansonsten hat sich nix verändert...

Den Scan werde ich gleich mal machen.
Kaspersky und escan konnten nix finden, aber ich probier das auch noch...

Auch, wenn du das SP" nicht installieren möchtest (was ich aber raten würde), solltest du auf jeden Fall alle Sicherheitspatches für XP und den IE herunterladen.

So, hab gescannt. Nun hab ich hier gelbe Kommentare "Possibly vulnerable" und rote Kommentare "Vulnerable Version"

Und jetzt?

In welchen Ordnern sind diese Versionen denn?