|
Brauche Hilfe bei meiner Startseite (about:blank) Hallo, seit mehreren Tagen kämpfe ich gegen eine Startseite an, die ich nicht haben will. Über den Quelltext ist herauszufinden, dass der Urheber der Seite sich unter http://oz.msie.tv verbirgt. Über Suche im Internet und zahlreiche Foren konnte ich schon etliches herausfinden, aber nichts hat irgendwie geholfen: - kein spybot - kein adaware - kein cw shredder Nun habe ich mehrere Versuche über hijackthis unternommen und auch immer wieder etwas gefunden. Ich füge das Protokoll jetzt mal an in der Hoffnung, dass mir hier Hilfe zu teil wird: Eine Bemerkung noch vorweg: die R1 - Hinweise mit sp.html habe ich bereits mehrere Male gelöscht, sie erscheinen aber immer wieder. Logfile of HijackThis v1.98.0 Scan saved at 18:51:02, on 01.07.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\atiptaxx.exe C:\WINDOWS\Mixer.exe C:\Programme\ATI Technologies\HydraVision\HydraDM.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ABBYY FineReader 5.0 Home Edition\CAgent.exe C:\WINDOWS\System32\mcc.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\FRITZ!\IWatch.exe D:\WinSweep\WSMonitor.exe C:\Programme\Logitech\iTouch\kbdtray.exe C:\WINDOWS\System32\msiexec.exe C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Programmierung\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank F0 - system.ini: Shell= F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {9D356BE0-96CD-43D3-8EA1-18423121DBB1} - C:\WINDOWS\System32\ghdifda.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Assistent - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [HydraVisionDesktopManager] C:\Programme\ATI Technologies\HydraVision\HydraDM.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb05.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [MMTray] C:\Programme\MusicMatch\MusicMatch Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ABBYY Community Agent] C:\Programme\ABBYY FineReader 5.0 Home Edition\CAgent.exe O4 - HKLM\..\Run: [Multimedia Codecs] C:\WINDOWS\System32\mcc.exe O4 - HKLM\..\Run: [DSB] C:\Programme\DSB\DSB.exe O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [WINSWEEP] D:\WinSweep\WinSweep.Exe /AUTO O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} (Yahoo! Audio Conferencing) - http://us.chat1.yimg.com/us.yimg.com...45/yacscom.cab O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (Yahoo! Assistent) - http://us.dl1.yimg.com/download.comp...bio5_1_6_0.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0EFEADDD-979E-417A-8F97-FB1333F52C4B}: NameServer = 192.168.10.254 O17 - HKLM\System\CS1\Services\Tcpip\..\{0EFEADDD-979E-417A-8F97-FB1333F52C4B}: NameServer = 192.168.10.254 O17 - HKLM\System\CS2\Services\Tcpip\..\{0EFEADDD-979E-417A-8F97-FB1333F52C4B}: NameServer = 192.168.10.254 O18 - Filter: text/html - {F51B9744-7284-4EE2-904A-72C2B91F8D6E} - C:\WINDOWS\System32\ghdifda.dll O18 - Filter: text/plain - {F51B9744-7284-4EE2-904A-72C2B91F8D6E} - C:\WINDOWS\System32\ghdifda.dll Danke schon einmal im voraus und Grüße bilguer |
Hallo bilguer, markiere bitte in HijackThis folgende Einträge und klicke anschlißend auf 'Fix checked': Zitat:
|
Vielen Dank für die schnelle Hilfe! Es hat jetzt endlich geklappt, ich bin den Plagegeist los. Gruß bilguer |
Es passt vielleicht nicht wirklich hierher, aber ich muss unbedingt wissen, wie ich die auswertung von Hjackthis kopiere, um sie automatisch prüfen zu lassen. würde mich wirklich über eine antwort freuen. danke |
Hallo and Welcome im TB Wenn du mit HJT gescannt hast - auf 'Save Log' klicken - dann das ganze kopieren und in die Auswertung reinkopieren - fertig bitte beachten !! Falls du damit Probs hast ,melde dich nochmal |
Was mich interessieren würde: Ist der Trojaner jetzt wirklich weg? Ich habe das selbe Problem, befolge die Tipps, so wie sie hier dastehen. Nehme nur noch den Firefox zum surfen und der Sauhund kommt trotzdem jeden zweiten Tag wieder...ich verstehs net! Viele Grüße LeBensch |
... dann surfst du aber mit dem IE. Ansonsten kannst du gegen solche Hijacker recht herzlich wenig machen ..... :dummguck: |
nein, wie gesagt...ich hab den IE runtergehauen und surfe nur noch mit Firefox. (Bzw. ich hab ihn über Systemsteuerung -> Software deinstalliert, aber so ganz scheint er noch net weg zu sein, wenn die PopUp-Fenster in nem IE-Fenster aufpoppen) Diese Lücke müsste also geschlossen sein. Ich könnte mir höchstens vorstellen, dass er über eine Hintertür vom Yahoo Messi oder sonstigem reinkommt...Vielleicht sollte ich auch das SP2 mal installieren, geht aber net aus den bekannten Gründen...by the way: weiß jemand wo es den Crack für das SP2 gibt? :D Grüßles LeBensch |
1. Du hast XP. Der IE lässt sich nicht von XP entfernen. Bei WIN98 funktionierte dies noch. Allerdings hattest du danach mehrere Probleme als davor. Benutze den IE einfach nicht, dann kann auch nichts passieren. 2. Gibt es SP2 noch gar nicht. 3. Cracks wirst du hier NICHT finden. 4. Benutze einfach www.windowsupate.com und es ist gut ....... |
zu 2. und 3.: Ok mein Fehler ;) zu 4.: Funzt bei mir net...aber das ist ein anderes Problem, das ich selbst lösen muss. zu 1. : Ich benutze den IE NICHT und der Trojaner kommt trotzdem immer wieder! Grüßles LeBensch |
@LeBensch: Nimm dieses Programm: http://www.rokop-security.de/main/ar...thread&order=0 Dass der Trojaner immer wiederkehrt liegt daran, dass Teile von ihm nie restlos vom System entfernt waren! |
Auf diesen Beitrag hab ich schon lange gewartet...dankeschön mmk...wird gleich ausprobiert ;) Grüßles LeBensch |
Hallo, ich habe ein ähnliches Problem, wie das oben geschilderte. Meine Startseite wird auch als about:blank angezeigt. Ich habe Hijack This drüberlaufen lassen und die angezeigten relevanten Einträge gelöscht. Trotzdem kommen die Einträge immer wieder. Hier das Protokoll: Logfile of HijackThis v1.98.2 Scan saved at 03:18:28, on 02.11.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\Save\Save.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\System\MSMSGSVC.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\SAVScan.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\System\MSMSGSVC.exe C:\WINDOWS\System\MSMSGSVC.exe C:\WINDOWS\System\MSMSGSVC.exe C:\Benny\HijackThis.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated) F1 - win.ini: run=C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE C:\WESTWOOD\ALARM\INSTICON.EXE O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net Ich wär euch dankbar, wenn ihr mir bei dem Problem weiterhelfen könntet. Gruß, meinhaus |
Diese Dateien im abg. Modus löschen: C:\WINDOWS\dpe.dll C:\Programme\winex\v2\winex.EXE Fixe dies: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated) O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll O4 - HKLM\..\Run: [WindowEnhancer] "C:\Programme\winex\v2\winex.EXE" /U Lass dann deine LSP reparieren: http://www.cexx.org/lspfix.htm Dein Windows updaten: www.windowsupdate.com Verwende zum Schutz einen anderen Browser: www.firefox-browser.de |
Hallo bilguer, ich habe exakt das selbe Problem. Alle sp.html Dateien habe ich schon zig male gelöscht. Ich gehe mal davon aus, dass im Hintergrund ein Dienst läuft, der die Einträge sofort wieder anlegt, sobald mal den IE startet. Wie bekommt man das Ding weg? Hast Du bereits eine Lösung gefunden??? |
Eröffne einen neuen Thread und poste ein HijackThis-Log: http://filepony.de/download-hijackthis/ |
hey Leute, in sachen computer kenn ich mich gar nicht aus! hab auch dieses Problem mit der startseite! About Blank und das ist ne amerikanische search seite! also das ist so ein virus nehm ich an. hoffe hier gibts ein paar profis die mir helfen können, bin hier am verzweifeln! danke, chris |
@--Gross-- Bitte mach einen neuen Thread auf und poste da ein HijackThis Logfile. |
brauche bitte selbige Hilfe! bei mir erscheint nach HijackThis-Scan: Logfile of HijackThis v1.99.1 Scan saved at 16:54:05, on 19.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\System32\GEARSEC.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Virtual CD v4 SDK\system\vcssecs.exe C:\WINDOWS\System32\windbg.exe C:\WINDOWS\SOUNDMAN.EXE C:\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\apps\ABoard\ABoard.exe C:\apps\ABoard\AOSD.exe C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe C:\WINDOWS\System32\hphmon04.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe C:\WINDOWS\System32\P2P Networking\P2P Networking.exe C:\Programme\Winamp3\winampa.exe C:\WINDOWS\System32\HPHipm11.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\Systools.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\DirectXset.exe C:\WINDOWS\System32\winajsb.exe C:\WINDOWS\System32\rundll32.exe C:\WINDOWS\System32\rundll32.exe C:\PROGRA~2\Altnet\DOWNLO~1\asm.exe C:\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Peter\LOKALE~1\Temp\se.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://red.clientapps.yahoo.com/cust...//my.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.media-search.net/nph-s...k=stmpl1&find= R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Peter\LOKALE~1\Temp\se.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.media-search.net/nph-s...k=stmpl1&find= R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hhttp://search.media-search.net/nph-search.cgi?track=mssrc&look=stmpl1&find= R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {00041A26-7033-432C-94C7-6371DE343822} - (no file) O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: URLLink Class - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet6_38.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {A479AAA8-588F-4FC3-95DA-AF2ED70E07E0} - C:\WINDOWS\System32\ebde.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_3_12_0.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ACTIVBOARD] c:\apps\ABoard\ABoard.exe O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe" O4 - HKLM\..\Run: [CleanEasyImg] c:\apps\easydvd\cleanall.exe O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb07.exe O4 - HKLM\..\Run: [HPHmon04] C:\WINDOWS\System32\hphmon04.exe O4 - HKLM\..\Run: [HPHUPD04] "C:\Programme\HP Photosmart 11\hphinstall\UniPatch\hphupd04.exe" O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART O4 - HKLM\..\Run: [KAZAA] C:\Kazaa\Kazaa.exe /SYSTRAY O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe" O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [Media-Search] "C:\Programme\msnet\v11\msnet.EXE" /H O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [ccRegVfy] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe O4 - HKLM\..\Run: [System Toolkit] C:\WINDOWS\Systools.exe O4 - HKLM\..\Run: [DirectX64] C:\WINDOWS\System32\DirectXset.exe O4 - HKLM\..\Run: [Windows Debugger] windbg.exe O4 - HKLM\..\Run: [WinDSNX] C:\WINDOWS\System32\winajsb.exe O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,NewDotNetStartup -s O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\Peter\LOKALE~1\Temp\se.dll,DllInstall O4 - HKLM\..\RunServices: [Windows Debugger] windbg.exe O4 - HKLM\..\RunOnce: [Windows Debugger] windbg.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet O4 - HKCU\..\Run: [Windows Debugger] windbg.exe O4 - HKCU\..\Run: [Spyware Vanisher] C:\SpywareRemove\FreeScanner.exe -FastScan O4 - HKCU\..\RunOnce: [Windows Debugger] windbg.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\ICQLite\ICQLite.exe -trayboot O4 - Startup: ASE Scheduler.lnk = C:\AluriSpyRemover\ASE Scheduler.exe O4 - Startup: PC Health Plan.lnk = C:\SpywareRemove\PC Health Plan\PC Health Plan.exe O4 - Global Startup: Brockhaus-Direktsuche.lnk = C:\Programme\Brockhaus Multimedia\Brockhaus multimedial\PGBMM.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\InterVideo\Common\Bin\WinCinemaMgr.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Yahoo! Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm O8 - Extra context menu item: Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0411.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0411.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O10 - Hijacked Internet access by New.Net O16 - DPF: {10000000-1000-0000-1000-000000000000} - ms-its:mhtml:file://C:\MAIN.MHT!http://d.dialer2004.com//colin/main.chm::/load.exe O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) - O16 - DPF: {A17E30C4-A9BA-11D4-8673-60DB54C10000} (YahooYMailTo Class) - http://us.dl1.yimg.com/download.yaho...ymmapi_416.dll O18 - Filter: text/html - {F5AE4BFE-F6F4-483B-BB18-F34F7DF72C5E} - C:\WINDOWS\System32\ebde.dll O18 - Filter: text/plain - {F5AE4BFE-F6F4-483B-BB18-F34F7DF72C5E} - C:\WINDOWS\System32\ebde.dll O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: Pml Driver HPH11 - HP - C:\WINDOWS\System32\HPHipm11.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Virtual CD v4 Security service (SDK - Version) (VCSSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4 SDK\system\vcssecs.exe vielen herzlichen Dank an Euch! Peda27 ;) |
Hallo peda27, schau Dir bitte einmal dies an: http://www.trojaner-info.de/anleitun...out_blank.html Wenn Du das dort beschriebene Tool eingesezt hast, melde Dich bitte mit einem danach erstellten Log von HijackThis erneut. Es gibt dann noch mehr aufzuräumen... ;) |
@Lutz meinst du wirklich, dass sich das noch lohnt? O4 - HKLM\..\RunOnce: [Windows Debugger] windbg.exe = W32/Forbot-BY System Toolkit] C:\WINDOWS\Systools.exe = Ronoper-G und diverse andere... Imho bleibt als einzig vernünftige Lösung nur das: "System neu aufsetzen und vor der ersten Internetverbindung entsprechend absichern". Warum eine einfache "Bereinigung" nicht ausreicht, kannst du auf diesen Seiten nachlesen: erstens, zweitens und drittens. Wofür der Rechner missbraucht werden kann: http://www.trojaner-board.com/showthread.php?t=14669 http://www.heise.de/newsticker/meldung/57030 http://www.heise.de/newsticker/meldung/51689 http://en.wikipedia.org/wiki/Botnet mfg Haui |
Zitat:
Außerdem befürchte ich, dass ich langsam se.dll-geschädigt bin... :crazy: |
also ich bitte auch ganz dringend um Hilfe! ich hab bis jetzt alles versucht, vom Program auf eurer Page bis zu zahlreichen möglichkeiten, die ich woanders im Internet gefunden hab...aber ich bekomm die startseite nicht weg! hier mein HiJackThis logfile: Logfile of HijackThis v1.99.1 Scan saved at 04:37:48, on 30.05.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\atmclk.exe C:\WINDOWS\System32\dcomcfg.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Conny\Desktop\HijackThis.exe O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\System32\hp100.tmp O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe Lässt sich daraus was erkennen oder habt ihr andere Tips...bitte um schnelle antwort! Danke im Voraus außerdem kommt bei mir immer noch werbung für alle möglichen anti-viren programme! wisst ihr zufällig, ob das auch damit zusammenhängt? |
mOIn Ich halt, eröffne doch bitte einen eigenen Threat und poste das gesamte Log von Hijackthis, so ist nicht zu erkennen ob da nicht noch mehr los ist bei dir. Du solltest dir auch SP2 gedanken machen, sonst wirkt dein System wie ein Magnet für Ungeziefer. MFG aus HH |
sorry aber das ist mein komplettes log...ich muss doch bei hijackthis nur auf scan und dan auf safe log. oder? und dann komm ich zu diesen ergebnis: Logfile of HijackThis v1.99.1 Scan saved at 12:42:12, on 30.05.2006 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\atmclk.exe C:\WINDOWS\System32\dcomcfg.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\ICQLite\ICQLite.exe C:\Documents and Settings\Conny\Desktop\HijackThis.exe O2 - BHO: Nothing - {f79fd28e-36ee-4989-aa61-9dd8e30a82fa} - C:\WINDOWS\System32\hp100.tmp O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe also ich dank dir trotzdem sconmal für deine hilfe, wär nett, wenn sich noch andere meinem problem annehmen würden! gibts da zufällig noch ne andere lösung? und zu dem SP2...ist das kostenlos? was mir auch noch einfällt...mein spybot findet noch ein problem mit dem namen "smitfraud-c" kan dieses aber nicht beheben...weiß jemand grad ganz zufällig, was das sein könnte?? vielen dank mfg aus dem schwarzwald |
Zitat:
Ich habe den Eindruck, dass Du beratungsresistent bist. Du solltest a. Einen neuen Thread erstellen. b. Ein komplettes HJT-Log aus dem Normalmudus posten. c. Über SP2 und regelmäßige Updates nachdenken. Wenn Du glaubst, dass Du Dir gegebene Hinweise ignorieren kannst, solltest Du falsch liegen. Lese nach: http://www.trojaner-board.de/extra/impressum.html#NUB |
Hallo, bei Punkt a. und c. ack. aber zu Punkt b, ich denke das ist sein komplettes Log, meines würde sehr ähnlich aussehen, bis auf den O2 Eintrag ;) Als weitere Anmerkung, ein Virenscanner würde nicht Schaden. Grüße Wildone |
Zitat:
Wo ist der Eintrag von S&D? Angeblich soll der ja etwas finden?:party: |
Hallo, auch S&D muss nicht im Autostart stehen, zumindest wenn man den Teatimer nicht verwendet. Bei mir steht es auch nicht im Autostart. Übrigens wäre der O4 Eintrag auch im abgesicherten Modus zu sehen, nur würde der Prozess nicht gestartet werden. :party: Grüße Wildone |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 20:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board