Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Startseite ändert selber

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.06.2004, 17:13   #1
lubin
 
Startseite ändert selber - Beitrag

Startseite ändert selber



meine Startseite ändert immer auf folgende Seite
res://vckbj.dll/index.html#96676


ich habe hier die Hijack Liste reinkopiert, kann mir jemand helfen welche ich löschen darf oder muss

die mit der Endung 96676 habe ich gelöscht hat aber nicht geholfen, waren beim nächsten Start wieder da

Besten Dank

C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe
C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe
C:\WINDOWS\Cpqdiag\Cpqdfwag.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\OfficeScan NT\ntrtscan.exe
C:\OfficeScan NT\tmlisten.exe
C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe
C:\WINDOWS\system32\crtb.exe
C:\OfficeScan NT\ofcdog.exe
C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\OfficeScan NT\pccntmon.exe
C:\WINDOWS\system32\ipoz.exe
C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
C:\Program Files\Adobe\Acrobat 5.0.5 With Distiller\Distillr\AcroTray.exe
C:\Program Files\Palm\HOTSYNC.EXE
C:\WINDOWS\MS\SMS\clicomp\apa\Bin\smsapm32.exe
C:\WINDOWS\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe
C:\WINDOWS\System32\ctfmon.exe
\CHSUSRV001\Users$\leuper\My Documents\Daten Erich\Erich\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vckbj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by DeLaval
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://cps.delaval.local/proxy/Gpoproxy.asp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = ftp://cww.delaval.com/projects/Aladin/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {C9C39404-2F6C-F6A0-18EC-055AF4D52B2B} - C:\WINDOWS\system32\d3zo32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [ipoz.exe] C:\WINDOWS\system32\ipoz.exe
O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program Files\Compaq\EAB\EabServr.exe /Start
O4 - HKLM\..\Run: [hkss] C:\Program Files\Compaq\Hotkey Software\hkss.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LtMoh] C:\PROGRA~1\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\RunServices: [CPQDFWAG] C:\WINDOWS\Cpqdiag\CpqDfwAg.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Program Files\Adobe\Acrobat 5.0.5 With Distiller\Distillr\AcroTray.exe
O4 - Global Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://intranet.delaval.local
O15 - Trusted Zone: cww.delaval.com
O15 - Trusted Zone: http://cww.delaval.com
O15 - Trusted Zone: cww.seso.delaval.com
O15 - Trusted Zone: http://cww.seso.delaval.com
O15 - Trusted Zone: cww.setu.delaval.com
O15 - Trusted Zone: http://cww.setu.delaval.com
O15 - Trusted Zone: setuagrint32.delaval.com
O15 - Trusted Zone: http://setuagrint32.delaval.com
O15 - Trusted Zone: setuagrint51.delaval.com
O15 - Trusted Zone: setuagrint51.setu.delaval.com
O15 - Trusted Zone: setuagrint66.sestu.delaval.com
O15 - Trusted Zone: setuagrint66.setu.delaval.com
O15 - Trusted Zone: cww.delaval.local
O15 - Trusted Zone: intranet.delaval.local
O15 - Trusted Zone: http://*.setuagrint32
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...685.4241319444
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\Software\..\Telephony: DomainName = delaval.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = delaval.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = delaval.local

Alt 16.06.2004, 19:34   #2
neptune
 
Startseite ändert selber - Beitrag

Startseite ändert selber



hallo.. wie bitte kommt man zu einem solchen hijackthislog? ist dir der name delaval, der öfter darin vorkommt, bekannt? wenn nicht, ist ungefähr alles verseucht..
erstmal alle r0 und r1 einträge fixen.. dann bescheid geben ob dieses delaval bekannt bzw. gewollt ist..

neptune
__________________

__________________

Alt 17.06.2004, 06:49   #3
lubin
 
Startseite ändert selber - Beitrag

Startseite ändert selber



Hallo Besten Dank für die Antwort

die r1 ro habe ich schon mermals gelöscht hat nicht geholfen, bei einem Neustart habe ich das selbe übel
alles mit delaval ist mir bekannt das schliesse ich aus

Gurss
__________________

Alt 17.06.2004, 07:11   #4
Olo
 

Startseite ändert selber - Beitrag

Startseite ändert selber



#96676
einfach forum danach durchsuchen hatten wir bisher schon einige male
__________________
Die Suchfunktion des Boards

Alt 17.06.2004, 07:26   #5
Lutz
 

Startseite ändert selber - Pfeil

Startseite ändert selber



Hallo lubin,

beende bitte im Taskmanager die folgenden Prozesse:

</font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\ipoz.exe
C:\WINDOWS\system32\crtb.exe </font>[/QUOTE]und fixe dann die folgenden Einträge mit HijackThis:
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://vckbj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://vckbj.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\vckbj.dll/sp.html#96676
O2 - BHO: (no name) - {C9C39404-2F6C-F6A0-18EC-055AF4D52B2B} - C:\WINDOWS\system32\d3zo32.dll
O4 - HKLM\..\Run: [ipoz.exe] C:\WINDOWS\system32\ipoz.exe
</font>[/QUOTE]Starte den Rechner anschließend im abgesicherten Modus und lösche die folgenden Dateien:
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\d3zo32.dll
C:\WINDOWS\system32\ipoz.exe </font>[/QUOTE]und überprüfe diese Datei C:\WINDOWS\system32\crtb.exe online bei Kaspersky.
Bei dieser Datei bin ich mir nicht ganz sicher. Also nur löschen, wenn als infiziert erkannt. Wenn nicht, bitte umbenennen, z. B. nach crtb.old.

Starte anschließend den Rechner neu und erstelle ein neues Log mit HijackThis. Ich hoffe, das war es...

Nachtrag:
Eine englischsprachige Referenz findest du in diesem Forum.

__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 17.06.2004, 08:38   #6
design-willy
 
Startseite ändert selber - Beitrag

Startseite ändert selber



Ich habe fast die halbe Nacht damit verbracht diesen Wurm oder Hijacker zu eleminieren - leider ohne Erfolg. Abgesicherter Modus oder nach Anleitung Symnatec für den win32 wurm (NAV findet das Ding gar nicht) cw zeigt mir keinen Befall an und
Hurra er ist auch schon wach und wieder da.
Hat schon jemand einen Lösungsweg?
Ich glaube er hat ja jetzt einen Namen #96676
Das scheint auch so ziemlich das Einzige zu sein was sich nicht ändert!

Aktueller log file

Logfile of HijackThis v1.97.7
Scan saved at 09:31:08, on 17.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\syswb32.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Telekom\Eumex 404PC\Capictrl.exe
C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\Programme\Microsoft ActiveSync\WCESMgr.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\addmq32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Willy\Eigene Dateien\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zgxpq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
O2 - BHO: (no name) - {7352F9CD-FC2A-F515-BFD2-D01E88963271} - C:\WINDOWS\system32\winet.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - HKLM\..\RunOnce: [addmq32.exe] C:\WINDOWS\addmq32.exe
O4 - HKLM\..\RunOnce: [d3pc.exe] C:\WINDOWS\system32\d3pc.exe
O4 - HKLM\..\RunOnce: [addvn.exe] C:\WINDOWS\addvn.exe
O4 - HKLM\..\RunOnce: [appri32.exe] C:\WINDOWS\appri32.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27e32a9b...dxIE601_de.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8046.139849537
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316

Alt 17.06.2004, 09:35   #7
Olo
 

Startseite ändert selber - Beitrag

Startseite ändert selber



jetzt fängst du auch shcon damit an bitte leute lasst eure logs in euren threads pro thread nur einer der logs postet
__________________
Die Suchfunktion des Boards

Alt 17.06.2004, 10:06   #8
design-willy
 
Startseite ändert selber - Beitrag

Startseite ändert selber



Sorry, ich habe versehentlich an der falschen Stelle auf antworten gedrückt
P.S. Konnte bisher keine Software Trojan cleaner finden?

Alt 17.06.2004, 10:26   #9
Nangie
 

Startseite ändert selber - Pfeil

Startseite ändert selber



Hallo and Welcome on Board

Schau mal bitte hier :
HijackThis Anleitung

Browser Hijacking Entfernung

Online Scan

Cleaner Tools gegen versch. Würmer

Security Check
__________________
MfG Nangie

Es ist einzig und allein der Mensch, der aus der Welt ein Armenhaus gemacht hat.

Lilo Keller (*1934) nachdenkliche Hausfrau

Alt 17.06.2004, 10:31   #10
Lutz
 

Startseite ändert selber - Beitrag

Startseite ändert selber



@willy


beende bitte im Taskmanager die folgenden Prozesse:

</font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\syswb32.exe
C:\WINDOWS\System32\hpoipm07.exe
C:\WINDOWS\addmq32.exe
C:\WINDOWS\System32\wuauclt.exe
</font>[/QUOTE]und fixe dann die folgenden Einträge mit HijackThis:
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zgxpq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zgxpq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\zgxpq.dll/sp.html#96676
O2 - BHO: (no name) - {7352F9CD-FC2A-F515-BFD2-D01E88963271} - C:\WINDOWS\system32\winet.dll

O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe
O4 - HKLM\..\RunOnce: [addmq32.exe] C:\WINDOWS\addmq32.exe
O4 - HKLM\..\RunOnce: [d3pc.exe] C:\WINDOWS\system32\d3pc.exe
O4 - HKLM\..\RunOnce: [addvn.exe] C:\WINDOWS\addvn.exe
O4 - HKLM\..\RunOnce: [appri32.exe] C:\WINDOWS\appri32.exe</font>[/QUOTE]Starte den Rechner anschließend im abgesicherten Modus und lösche die folgenden Dateien:
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\zgxpq.dll
C:\WINDOWS\system32\winet.dll
C:\WINDOWS\system32\syswb32.exe
C:\WINDOWS\addmq32.exe
</font>[/QUOTE]und überprüfe diese Datei C:\WINDOWS\System32\hpoipm07.exe online bei Kaspersky.
Bei dieser Datei bin ich mir nicht ganz sicher. Also nur löschen, wenn als infiziert erkannt. Wenn nicht, bitte umbenennen, z. B. nach hpoipm07.old.

Starte anschließend den Rechner neu und erstelle ein neues Log mit HijackThis. Ich hoffe, das war es...

Nachtrag:
Eine englischsprachige Referenz findest du in diesem Forum.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 17.06.2004, 11:32   #11
design-willy
 
Startseite ändert selber - Beitrag

Startseite ändert selber



Hallo Lutz,

erstmal vielen Dank für deine Hilfe. Ich habe leider bevor Dein Tipp kam mit einem neuen Entfernungsversuch begonnen.
Ich habe die selben Einträge die Du aufgeführt hast mit Hijack gefixt. Bin z.Z. mit dem "infizierten Rechner" im abgesichertem Modus und lasse eScan nochmal laufen (braucht fast eine Stunde). Hat auch schon 2 Files gefunden. Wenn er fertig ist werde ich die von dir aufgeführten dateien löschen und hier nochmal einen log file posten.
Vorerst Danke

Alt 17.06.2004, 11:49   #12
Lutz
 

Startseite ändert selber - Beitrag

Startseite ändert selber



</font><blockquote>Zitat:</font><hr />und lasse eScan nochmal laufen...
</font>[/QUOTE]Ein Komplett-Scan mit eScan ist nicht gerade besonders schnell, aber dafür imho gründlich.
Es wäre gut -auch in Hinsicht auf andere User mit dem gleichen Problem-, wenn Du anschließend auch posten würdest, was (Datei und Fundstelle) eScan gefunden hat.
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 17.06.2004, 12:06   #13
design-willy
 
Startseite ändert selber - Beitrag

Startseite ändert selber



@Hallo Lutz
der e-scan hat folgendes gefunden:

File C:\\WINDOWS\system32\dimoi.dll infected by "TrojanDownloader.Win32.WinShow.u"Virus. Action Taken: File Deleted.

File C:\\WINDOWS\zgxpq.dll infected by "TrojanDownloader.Win32.WinShow.u"Virus. Action Taken: File Deleted

File C:\Programme\iPAQ Download\CompaqDownloads\Jamdat Mobile Kasparov Chessmate\KasparovChess_PPC_EN_HEX_1.0.9.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Die ... system32\dimoi.dll soll ich die auch löschen?

Gruss Willy

Alt 17.06.2004, 12:12   #14
Lutz
 

Startseite ändert selber - Beitrag

Startseite ändert selber



</font><blockquote>Zitat:</font><hr />Die ... system32\dimoi.dll soll ich die auch löschen?</font>[/QUOTE]Definitiv JA! Bzw. eigentlich sollte eScan das schon getan haben.

Falls Du diese Datei meinst:
KasparovChess_PPC_EN_HEX_1.0.9.exe
Die erscheint mir harmlos
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 17.06.2004, 13:08   #15
design-willy
 
Startseite ändert selber - Beitrag

Startseite ändert selber



@ Hallo Lutz,

im Windows\system32 ordner kann ich die syswb32 finden eine winet.dll exestiert nicht (oder nicht mehr) es gibt eine wininet.dll

im windows ordner gibt es unzählige viele kleine Programme alle mit 5 oder 6 zufälligen Buchstabenkombinationen (erstellungsdatum mai bzw. Juni 2004) von ca. 9 bis 90 kB Grösse.
z.B. bxhyl, cqgqzz usw. oder n_akgxfu, n_vvotun usw. bei google bekomme ich auf die keine Suchergebnisse??
Was mache ich mit denen? Da scheint doch ein Zufallsgenerator ständig neue Anwendungen zu ertellen?

Willy

Antwort

Themen zu Startseite ändert selber
.inf, acrobat, adobe, application, bho, button, check, excel, ftp, gelöscht, hijack, hotkey, ics, internet, internet explorer, launch, links, löschen, messenger, microsoft, monitor, nicht, officescan, seite, software, system, system32, tcpip, update, win32, windows



Ähnliche Themen: Startseite ändert selber


  1. Win 7, andauernd ändert sich die Startseite, Computer langsamer
    Plagegeister aller Art und deren Bekämpfung - 13.12.2014 (13)
  2. Browser öffnet von allein Werbeseiten (genesis offers), ändert die Standardsuchmaschine/Startseite ungefragt
    Plagegeister aller Art und deren Bekämpfung - 12.08.2014 (13)
  3. PUP.Optional.Speedial.A - Firefox ändert Startseite
    Log-Analyse und Auswertung - 27.06.2014 (11)
  4. websearches.com ändert Startseite bei Firefox
    Plagegeister aller Art und deren Bekämpfung - 17.04.2014 (13)
  5. Hp laptop startseite ändert sivh automatisch um
    Plagegeister aller Art und deren Bekämpfung - 09.04.2014 (7)
  6. www.feed.plusnetwork.com ändert die websiten startseite immer um -.-*
    Plagegeister aller Art und deren Bekämpfung - 02.04.2014 (24)
  7. Browser-Startseite ändert sich von selbst
    Plagegeister aller Art und deren Bekämpfung - 10.02.2014 (11)
  8. FreeYoutubeToMP3Converter5628.exe heruntergeladen - Firefox ändert die Startseite nicht mehr
    Log-Analyse und Auswertung - 16.07.2013 (17)
  9. http://www.searchqu.com - ändert die Startseite .
    Log-Analyse und Auswertung - 04.05.2011 (1)
  10. Firefox ändert meine Startseite
    Log-Analyse und Auswertung - 30.07.2009 (4)
  11. Explorer Startseite ändert sich bei Reboot.
    Plagegeister aller Art und deren Bekämpfung - 14.04.2008 (12)
  12. Internet Explorer Startseite ändert immer nach ''übernehmen'' und ''ok''
    Log-Analyse und Auswertung - 12.04.2007 (1)
  13. Startseite ändert sich immer :-(
    Log-Analyse und Auswertung - 06.05.2005 (0)
  14. Startseite von Internet Explorer, ändert sich automatisch
    Plagegeister aller Art und deren Bekämpfung - 17.11.2004 (2)
  15. Startseite ändert sich
    Log-Analyse und Auswertung - 22.06.2004 (6)
  16. IE Startseite ändert sich immer wieder!
    Log-Analyse und Auswertung - 18.06.2004 (4)
  17. Startseite ändert selbstständig...
    Plagegeister aller Art und deren Bekämpfung - 01.03.2004 (2)

Zum Thema Startseite ändert selber - meine Startseite ändert immer auf folgende Seite res://vckbj.dll/index.html#96676 ich habe hier die Hijack Liste reinkopiert, kann mir jemand helfen welche ich löschen darf oder muss die mit der Endung 96676 - Startseite ändert selber...
Archiv
Du betrachtest: Startseite ändert selber auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.