Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Easy-Search als Startseite (https://www.trojaner-board.de/9434-easy-search-startseite.html)

höllsangel 10.11.2004 17:39
Easy-Search als Startseite
 
Hallo,
ich bin verzweifelt und bitte um eure Hilfe !!
Seit ein paar Tagen starten der Internet Explorer immer mit der Seite Easy-Search und ich krieg die nimmer weg !

Hier mein logfile

Logfile of HijackThis v1.98.2
Scan saved at 17:38:42, on 10.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\vmmon32.exe
C:\WINNT\system32\systime.exe
C:\WINNT\system32\ifconfig.exe
C:\WINNT\system32\ifconfig.exe
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\geisinger\Anwendungsdaten\euas.exe
C:\WINNT\system32\systime.exe
C:\WINNT\system32\l?gonui.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINNT\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {5483427F-93B8-1470-5A89-E6B56484CDB2} - C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\msqazquwnot.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [d3ps.exe] C:\WINNT\d3ps.exe
O4 - HKLM\..\Run: [lakhdsrdvkuyl] C:\WINNT\system32\rzznalh.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [VMMON32] C:\WINNT\system32\vmmon32.exe
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKLM\..\Run: [ifconfig.exe] C:\WINNT\system32\ifconfig.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)
O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU)
O15 - Trusted Zone: *.my-internet.info
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CCS\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CS1\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CS2\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)

ZERO 10.11.2004 17:42
Hi

Also du mußt das hier fixen und manuell löschen
C:\Programme\ISTsvc\istsvc.exe
C:\WINNT\system32\systime.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe

und das auch fixen

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe

O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"

O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe

O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O15 - Trusted Zone: *.my-internet.info


Das ganze im abgesicherten modus bei deaktivirter systemwiderherstellung



wenn du gefixt hast mach nen neues log un wieder posten!

höllsangel 11.11.2004 16:53
Okay,

hab alles so gemacht wie von dir beschrieben, danke :)

Die Easy-Search Seite kommt aber leider immer noch :heulen:

hier also das aktuelle logfile:



Logfile of HijackThis v1.98.2
Scan saved at 16:51:33, on 11.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\vmmon32.exe
C:\WINNT\system32\ifconfig.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\ifconfig.exe
C:\Programme\Microsoft Office\Office\EXCEL.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {5483427F-93B8-1470-5A89-E6B56484CDB2} - C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\gppcjsmgrhn.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [d3ps.exe] C:\WINNT\d3ps.exe
O4 - HKLM\..\Run: [lakhdsrdvkuyl] C:\WINNT\system32\rzznalh.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [VMMON32] C:\WINNT\system32\vmmon32.exe
O4 - HKLM\..\Run: [ifconfig.exe] C:\WINNT\system32\ifconfig.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)
O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CCS\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CS1\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CS2\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)

ZERO 11.11.2004 17:20
hi

Diese sachen auch noch fixen

O9 -Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)

O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)

O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU

O2 - BHO: (no name) - {5483427F-93B8-1470-5A89-E6B56484CDB2} - C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\gppcjsmgrhn.dll


Diese dateien bitte einzeln auf Virenscan überprüfen lassen
das ergebnis dann bitte posten

C:\WINNT\system32\vmmon32.exe

C:\WINNT\system32\ifconfig.exe

O4 - HKLM\..\Run: [d3ps.exe] C:\WINNT\d3ps.exe

O4 - HKLM\..\Run: [lakhdsrdvkuyl] C:\WINNT\system32\rzznalh.exe

O4 - HKLM\..\Run: [VMMON32] C:\WINNT\system32\vmmon32.exe

O4 - HKLM\..\Run: [ifconfig.exe] C:\WINNT\system32\ifconfig.ex

Diese hier sollten auch gefixt werden! Mach aber vorher eine sicherung der Regestry ( start- ausfüren- regedit eingeben dann datei -exportieren dann sicherung 1 nennen und speichern wo du willst ) wenn nach dem fixen dann probleme auftreten einfach doppelklick auf die datei und die regestry ist widerhergestellt!
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoell.loc

O17 -
HKLM\System\CCS\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoell.loc

O17 - HKLM\System\CS1\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoell.loc

17 - HKLM\System\CS2\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201


Fixen im abgesicherten modus bei deaktivirter systemwiderherstellung

Ach so deinen IE solltest du aktualisieren und dann am besten nicht mehr benutzen sondern zb. mozilla firefox


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:46 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131