Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Startseite "Cool web search" - was tun? (https://www.trojaner-board.de/20332-startseite-cool-web-search-tun.html)

cipi 30.07.2005 18:13
Startseite "Cool web search" - was tun?
 
Habe seit 2 Tagen beim IE die Startseite hzzp://195.95.218.172/index.php eingetragen bekommen.
Lässt sich nicht ändern, CWShredder bringt nix, auch Löschen in der Registry nicht.

Wer kann helfen??

Hier der hijack-log:

Code:
Logfile of HijackThis v1.99.1
Scan saved at 19:13:23, on 30.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\download\pavissimo\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\paytime.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\simon\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AIM95\aim.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Pavo\Winamp\winamp.exe
C:\DOKUME~1\ADMINI~1\DESKTOP\PAVO\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Pavo\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\download\pavissimo\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpyStopper] C:\Dokumente und Einstellungen\Administrator\Desktop\Pavo\spy\spystopper.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\simon\Cisco Systems\VPN Client\vpngui.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\simon\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

cronos 30.07.2005 18:57
Zunächst solltest du dir das Service Pack 2 zulegen, da dadurch die Sicherheit deines Systems erhöht wird.
Desweiteren benötigt dein Java ein Opdate .
Nun wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung .
Fixxe mittels Hijackthis folgende Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://195.95.218.172/index.php
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

Lösche manuell:

C:\WINDOWS\System32\paytime.exe

Jetzt scanne dein System mit Spybot und Adaware und lösche alle Funde.
Mit Spybot zusätzlich immunisieren.
Scanne dein System auch zu Sicherheit mit Escan .
Ist das abgearbeitet startest du neu erstellst im normalen Modus ein neues Hijackthis-Logfile und postest das zusammen mit den Escan Ergebnissen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:16 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131