Startseite lässt sich nicht entfernen !!!
 

Hallo zusammen, habe seit gestern unfreiwillig eine neue Startseite und neue Favoriten, die sich nicht mehr entfernen lassen!!!

Habe Spybot - Search&Destroy ausgeführt, SpywareBlaster und Hijack Fix, jedoch erscheint die neue Startseite (http://searchforfree.info/) und die Favoriten immer wieder nach dem Neustart.

Hier mein hijackthis.log, könnt Ihr mir bitte sagen, was ich fixen kann!!

Logfile of HijackThis v1.99.1
Scan saved at 19:05:16, on 07.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\StartPatrol\StartPatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Tweak-XP Pro\AdBlocker.exe
C:\Programme\Tweak-XP Pro\popup.exe
C:\Programme\Tweak-XP Pro\transtask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://searchforfree.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchforfree.info/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://searchforfree.info/browser/
F3 - REG:win.ini: run=C:\WINDOWS\htmlsync.exe
O1 - Hosts: {î~?ð#â.¢¿|}ãM^-ÚnšÜ®ÿ'o™�¿¼ØÿÝoàíYÆ�9MÓ�dç{rôÑwó_xý³Kà²õÿ€y‡ƒ¾/øWÅ–1ÞYKåù˜ó"ó<Ï';¶|þZoݵÿ…~ï¿'iÖøÆküâ9šÚ;˜¦¶ŽÞ&�ýo›æïb0ûþâàqßšø>7±’$²²lî'Ì“ÛŒlù3ÎrßÄ:V^ÏÏðÿ‚z¤[Ùùzk3?wø1ýïö½èö~‡ü4ôÍ"+xš8¤Û·næÙ÷¾ö8ßÆ9îz×G'˜,zG_ô�Oùeõÿ¦”ry�»m§ýÿÞÿwþYÿ½þÝu}_û߇üšÆäV{÷žŸÁõÿj�«ÿ{ðÿ‚,Çc×÷¾ŸÁõÿn»}ŸŸà`_KM™ýç\:gý¯z=ŸŸà4cµëóú ×ýª=ŸŸàG?‘m-6g÷�qüéŸö½èö~€sùAi·wï?»üõÿj´(²ʹ·¶Æ~Óæ|ùÇ—ålþ|Ùó=F1ï@ÞOû_§ÿ^ƒ"â®Üóý(Âœç¶?*gìüÿ
ÜÐS·?þª=ŸŸà-ì÷ý?úôsù~'5‰3G?—â%òÚý?úõ˜È<Ϳ÷>ýqôô* £=ëZsù~!aÑîíŒ~¹£ŸËñ7Ãßø�x“Ä~&_ô{#kúß´Hþfï“Êû�6·^¼VX™Z1„UåRKKÚÉ4äö馚nî±Û_?™"¾6îÝÆsŒmï�[Â<‘Q¾ß!3TG?—â*9ü¿<oÿg×òô*9<ÿÆÿöqý/J“Ïð)IÝç×·ÓÞ€çòüJ軳Î1ŽÞ¹*9ü¿m¸ãúWA4
»ew®Ùjø*²·özOŽ|G®4òÚéì`r6§©¼òÜ´¡‡Ø@EÙsçn�çeòW¯$¥)Cšü®Ñj/“K'tµo›â´t:’³ŠZ5½¿ÌÌÑîwjð'ƒ`[�ÁÚ®³¥ø§ÅÇ6¶ïa¦›;�Ø6ßšîy5E–áÃ�³uÙ/Úw@åOo]»'N�9+4Ò|¼ñéï-,÷æ[*KáŠîõ^}Œýö×Âãá·Ã¿
O1 - Hosts: Ço«i(ñv…¨êñ[µÝ�…ƒÚjšü¶:¢«©·»¾¶¹µÙ��mŸ“´f¥J<تµ5ÃT„$’Þ\±M5fšjÚ-æò4ä²I;8ß¡J{*á?„Ŧµ>¡âoÚøìOh–ê*â/jž$×/OK?šC
ŸE½Hƒ(Ab `¢“�IFPqú´éIj´OEgûÍ5o²¹y–�^KÙ®úÜÈñΙã¯h¿´“ªMsá+;8<?aáØ4¹<Ù
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [StartPatrol Run] "C:\Programme\StartPatrol\StartPatrol.exe"
O4 - HKLM\..\Run: [isystem] C:\WINDOWS\System32\isystem.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro\AdBlocker.exe"
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro\popup.exe"
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro\transtask.exe"
O4 - HKCU\..\Run: [ldriver] C:\WINDOWS\System32\ldriver.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1265B9D7-052E-44C2-9A30-A3FA9DAC4CFC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1265B9D7-052E-44C2-9A30-A3FA9DAC4CFC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112382919774
O21 - SSODL: wuQQwQEOpnI - {1467B824-BECD-128E-B59D-558853C9DEE4} - C:\WINDOWS\System32\asps.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Vielen Dank für Eure Hilfe.

Gruß
Micha

@mbx600
Es fehlt WinXP SP2
Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden
Das bitte fixen.
Prozesse über Task-manger beenden, Dateien löschen.
Danach bitte:
1. Systemwiederherstellung abschalten http://www.systemwiederherstellung-d...indows-xp.html
2. Temporary Internet Files -Ordner leeren:
Start/Einstellungen/Systemsteuerung/Internetoptionen/Dateien löschen/Alle Offlineinhalte löschen...
3. Papierkorb leeren.
4. eScan nach der Anleitung im abgesicherten Modus laufen lassen: http://www.trojaner-board.de/42731-escan-anleitung.html
Ergebnisse ggf. mit Vireninfos inkl. Pfäde hier posten

Wollte gerade meinen Papierkorb leeren, doch der ist mitlerweile verschwunden!! Finde Ihn auch nicht über die Suchfunktion. :confused:


Alle o.k. hab ihn wieder

Habe alles wie beschrieben versucht...hat sich nichts geändert, nach dem Neustart ist alles wieder wie es war.

Was habe ich noch für Möglichkeiten?

Tkns
Micha

Hallo,

Mach dies bitte noch und poste zusätzlich ein HJT-Logfile.

dartus

O.k. kommt.

Meine gefundenen Trojander

File C:\WINDOWS\System32\asps.dll infected by "Trojan-Proxy.Win32.Agent.df" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\prntsvra.dll infected by "Backdoor.Win32.Dumador.az" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winldra.exe infected by "Trojan-Dropper.Win32.Small.wa" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winldra.exe infected by "Trojan-Dropper.Win32.Small.wa" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\prntsvra.dll infected by "Backdoor.Win32.Dumador.az" Virus. Action Taken: No Action Taken.

:headbang:
und ein neuer HJT-Log

Logfile of HijackThis v1.99.1
Scan saved at 19:07:54, on 08.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\StartPatrol\StartPatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tweak-XP Pro\AdBlocker.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Tweak-XP Pro\popup.exe
C:\Programme\Tweak-XP Pro\transtask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://searchforfree.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchforfree.info/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://searchforfree.info/browser/
F3 - REG:win.ini: run=C:\WINDOWS\htmlsync.exe
O1 - Hosts: {î~?ð#â.¢¿|}ãM^-ÚnšÜ®ÿ'o™�¿¼ØÿÝoàíYÆ�9MÓ�dç{rôÑwó_xý³Kà²õÿ€y‡ƒ¾/øWÅ–1ÞYKåù˜ó"ó<Ï';¶|þZoݵÿ…~ï¿'iÖøÆküâ9šÚ;˜¦¶ŽÞ&�ýo›æïb0ûþâàqßšø>7±’$²²lî'Ì“ÛŒlù3ÎrßÄ:V^ÏÏðÿ‚z¤[Ùùzk3?wø1ýïö½èö~‡ü4ôÍ"+xš8¤Û·næÙ÷¾ö8ßÆ9îz×G'˜,zG_ô�Oùeõÿ¦”ry�»m§ýÿÞÿwþYÿ½þÝu}_û߇üšÆäV{÷žŸÁõÿj�«ÿ{ðÿ‚,Çc×÷¾ŸÁõÿn»}ŸŸà`_KM™ýç\:gý¯z=ŸŸà4cµëóú ×ýª=ŸŸàG?‘m-6g÷�qüéŸö½èö~€sùAi·wï?»üõÿj´(²ʹ·¶Æ~Óæ|ùÇ—ålþ|Ùó=F1ï@ÞOû_§ÿ^ƒ"â®Üóý(Âœç¶?*gìüÿ
ÜÐS·?þª=ŸŸà-ì÷ý?úôsù~'5‰3G?—â%òÚý?úõ˜È<Ϳ÷>ýqôô £=ëZsù~!aÑîíŒ~¹£ŸËñ7Ãßø�x“Ä~&_ô{#kúß´Hþfï“Êû�6·^¼VX™Z1„UåRKKÚÉ4äö馚nî±Û_?™"¾6îÝÆsŒmï�[Â<‘Q¾ß!3TG?—â 9ü¿<oÿg×òô 9<ÿÆÿöqý/J“Ïð)IÝç×·ÓÞ€çòüJ軳Î1ŽÞ¹ 9ü¿m¸ãúWA4
»ew®Ùjø ²·özOŽ|G®4òÚéì`r6§©¼òÜ´¡‡Ø@EÙsçn�çeòW¯$¥)Cšü®Ñj/“K'tµo›â´t:’³ŠZ5½¿ÌÌÑîwjð'ƒ`[�ÁÚ®³¥ø§ÅÇ6¶ïa¦›;�Ø6ßšîy5E–áÃ�³uÙ/Úw@åOo]»'N�9+4Ò|¼ñéï-,÷æ[ KáŠîõ^}Œýö×Âãá·Ã¿
O1 - Hosts: Ço«i(ñv…¨êñ[µÝ�…ƒÚjšü¶:¢«©·»¾¶¹µÙ��mŸ“´f¥J<تµ5ÃT„$’Þ\±M5fšjÚ-æò4ä²I;8ß¡J{*á?„Ŧµ>¡âoÚøìOh–ê*â/jž$×/OK?šC
ŸE½Hƒ(Ab `¢“�IFPqú´éIj´OEgûÍ5o²¹y–�^KÙ®úÜÈñΙã¯h¿´“ªMsá+;8<?aáØ4¹<Ù
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [StartPatrol Run] "C:\Programme\StartPatrol\StartPatrol.exe"
O4 - HKLM\..\Run: [isystem] C:\WINDOWS\system32\isystem.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro\AdBlocker.exe"
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro\popup.exe"
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro\transtask.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ldriver] C:\WINDOWS\system32\ldriver.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1265B9D7-052E-44C2-9A30-A3FA9DAC4CFC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1265B9D7-052E-44C2-9A30-A3FA9DAC4CFC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112382919774
O21 - SSODL: wuQQwQEOpnI - {1467B824-BECD-128E-B59D-558853C9DEE4} - C:\WINDOWS\System32\asps.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Danke und Gruß

Micha

@mbx600
Das Posten von HJT-Log könntest du dir sparen.
Vorgehensweise bei einem Backdoor:
1.PC vom Internet trennen
2.Neu aufsetzten inkl alle Patches und Updates: Anleitung
3 Vernünftig absichern:Info
4.Alle Passwörter wechseln.
Noch Details:
Ich habe Virus...
10 Immutable Laws...

:daumenhoc

Alle wieder O.k.

habt Ihr mir noch eine paar Pers. Favoriten zum Schutz vor Parasiten u.ä.

Danke für Eure Hilfe

Micha