Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Toolbar und Startseite verändert (https://www.trojaner-board.de/12260-toolbar-startseite-veraendert.html)

Erik15 16.01.2005 15:39
Toolbar und Startseite verändert
 
Hier mein Hijack File. Ich brauche dringend Hilfe

Logfile of HijackThis v1.99.0
Scan saved at 15:40:07, on 16.01.2005
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
D:\PROGRAMME\SYMANTEC\RTVSCN95.EXE
D:\PROGRAMME\SYMANTEC\DEFWATCH.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
D:\PROGRAMME\SYMANTEC\VPTRAY.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ATIPTAAA.EXE
C:\PROGRAMME\OFFICE\MSOFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\OFFICE\MSOFFICE\OFFICE\FINDFAST.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
E:\BANKPOST\POSTEINGANG\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: (no name) - {7A8BDC00-6749-11D9-AA28-00040E26A3B8} - C:\WINDOWS\SYSTEM\MSXAF.DLL
O2 - BHO: (no name) - {844DB921-6749-11D9-AA28-000468B434E2} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\IECUST.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [vptray] D:\PROGRA~1\SYMANTEC\vptray.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [rtvscn95] D:\PROGRA~1\SYMANTEC\rtvscn95.exe
O4 - HKLM\..\RunServices: [defwatch] D:\PROGRA~1\SYMANTEC\defwatch.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Office\msoffice\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Office\msoffice\Office\FINDFAST.EXE
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O8 - Extra context menu item: &Download by NetAnts - D:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - D:\PROGRA~1\NETANTS\NAGetAll.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - D:\PROGRA~1\NETANTS\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - D:\PROGRA~1\NETANTS\NetAnts.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.188.180,195.225.176.31
O18 - Filter: text/html - {6ED87DC1-67BA-11D9-AA28-000403B3AF42} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O18 - Filter: text/plain - {6ED87DC1-67BA-11D9-AA28-000403B3AF42} - C:\WINDOWS\SYSTEM\MCICDB.DLL

Gnmpf 16.01.2005 16:57
Downloade aber benutze es noch nicht:
Download http://securityresponse.symantec.com...r/FxAgentB.exe

Download und doppelklicke http://cwshredder.net/bin/CWShredder.exe. Dann schliesse ALLE Programme und beende Deine Internetverbindung, dann findest Du das Cwsshredder Icon auf Deinem Desktop, doppelklicken
Klick Fix und dann Next, lass ihn entfernen was er auch immer will.

Start HijackThis und mach einen Haken bei:
R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {7A8BDC00-6749-11D9-AA28-00040E26A3B8} - C:\WINDOWS\SYSTEM\MSXAF.DLL
O2 - BHO: (no name) - {844DB921-6749-11D9-AA28-000468B434E2} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O18 - Filter: text/html - {6ED87DC1-67BA-11D9-AA28-000403B3AF42} - C:\WINDOWS\SYSTEM\MCICDB.DLL
O18 - Filter: text/plain - {6ED87DC1-67BA-11D9-AA28-000403B3AF42} - C:\WINDOWS\SYSTEM\MCICDB.DLL
Schliesse ALLE Programme ausser HijackThis and klicke fix

Ohne Internetverbindung und mit allen Programmen geschlossen, starte das Symantec tool
Wenn es fertig ist mache einen neustart. Es macht ein log das bitte mit posten.
Starte es noch mal um sicherzustellen das da nichts mehr ist.

Poste ein neues HijackTHis log und das Symantec tool log

Erik15 16.01.2005 17:35
Zuvor noch eine Frage: Die ersten Einträge in dem Log von HIjack habe ich versucht zu fixen. Sie waren anschließend aber immer wieder neu drin. Woran kann das liegen? Die lästige Toolbar habe ich jetzt mittlerweile zum Verschwinden gebracht. Was aber geblieben ist, ist die lästige Search STart seite

Gnmpf 16.01.2005 18:12
Da ist noch eine ersteckte Datei die durch das Symantec tool hoffentlich entfernt wird.

Gigamail 16.01.2005 19:25
Hi lade Dir escan
lese dazu auch das http://www.trojaner-board.de/42731-escan-anleitung.html
wichtig eigenes verzeichnis erstellen C:\Bases und dort rein entpacken
(rechte maustaste und entpacken nach)
dann die datei kavupd.exe ausführen kanneine weile dauern (Update)
Nach dem Update mit mwavscan.com starten. Virus information Log im unteren Fenster kopieren und hier wieder reinposten.

Dann machst Du einen neuen Hijack This das Log auch wieder hier her

Bitte lese die Hilfe für eScan genau (abgesicherter Modus usw)


http://www.cosgan.net/images/smilie/sportlich/a065.gif
Gruß Gigamail


Alle Zeitangaben in WEZ +1. Es ist jetzt 12:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131