Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Easy-Search als Startseite (https://www.trojaner-board.de/9434-easy-search-startseite.html)

höllsangel 10.11.2004 17:39
Easy-Search als Startseite
 
Hallo,
ich bin verzweifelt und bitte um eure Hilfe !!
Seit ein paar Tagen starten der Internet Explorer immer mit der Seite Easy-Search und ich krieg die nimmer weg !

Hier mein logfile

Logfile of HijackThis v1.98.2
Scan saved at 17:38:42, on 10.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\ISTsvc\istsvc.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\vmmon32.exe
C:\WINNT\system32\systime.exe
C:\WINNT\system32\ifconfig.exe
C:\WINNT\system32\ifconfig.exe
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\geisinger\Anwendungsdaten\euas.exe
C:\WINNT\system32\systime.exe
C:\WINNT\system32\l?gonui.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\WINNT\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
O2 - BHO: (no name) - {5483427F-93B8-1470-5A89-E6B56484CDB2} - C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\msqazquwnot.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [d3ps.exe] C:\WINNT\d3ps.exe
O4 - HKLM\..\Run: [lakhdsrdvkuyl] C:\WINNT\system32\rzznalh.exe
O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe
O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [VMMON32] C:\WINNT\system32\vmmon32.exe
O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O4 - HKLM\..\Run: [ifconfig.exe] C:\WINNT\system32\ifconfig.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)
O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU)
O15 - Trusted Zone: *.my-internet.info
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CCS\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CS1\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CS2\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)

ZERO 10.11.2004 17:42
Hi

Also du mußt das hier fixen und manuell löschen
C:\Programme\ISTsvc\istsvc.exe
C:\WINNT\system32\systime.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe

und das auch fixen

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe

O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe

O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe

O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"

O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe

O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O15 - Trusted Zone: *.my-internet.info


Das ganze im abgesicherten modus bei deaktivirter systemwiderherstellung



wenn du gefixt hast mach nen neues log un wieder posten!

höllsangel 11.11.2004 16:53
Okay,

hab alles so gemacht wie von dir beschrieben, danke :)

Die Easy-Search Seite kommt aber leider immer noch :heulen:

hier also das aktuelle logfile:



Logfile of HijackThis v1.98.2
Scan saved at 16:51:33, on 11.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\NavNT\defwatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\Programme\NavNT\rtvscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\cba\xfr.exe
C:\WINNT\system32\MsgSys.EXE
C:\WINNT\Explorer.EXE
C:\Programme\FreePDF\FreePDFA.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\vmmon32.exe
C:\WINNT\system32\ifconfig.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\ifconfig.exe
C:\Programme\Microsoft Office\Office\EXCEL.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {5483427F-93B8-1470-5A89-E6B56484CDB2} - C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\gppcjsmgrhn.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [d3ps.exe] C:\WINNT\d3ps.exe
O4 - HKLM\..\Run: [lakhdsrdvkuyl] C:\WINNT\system32\rzznalh.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [VMMON32] C:\WINNT\system32\vmmon32.exe
O4 - HKLM\..\Run: [ifconfig.exe] C:\WINNT\system32\ifconfig.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)
O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CCS\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CS1\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoell.loc
O17 - HKLM\System\CS2\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing)

ZERO 11.11.2004 17:20
hi

Diese sachen auch noch fixen

O9 -Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)

O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file)

O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU

O2 - BHO: (no name) - {5483427F-93B8-1470-5A89-E6B56484CDB2} - C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\gppcjsmgrhn.dll


Diese dateien bitte einzeln auf Virenscan überprüfen lassen
das ergebnis dann bitte posten

C:\WINNT\system32\vmmon32.exe

C:\WINNT\system32\ifconfig.exe

O4 - HKLM\..\Run: [d3ps.exe] C:\WINNT\d3ps.exe

O4 - HKLM\..\Run: [lakhdsrdvkuyl] C:\WINNT\system32\rzznalh.exe

O4 - HKLM\..\Run: [VMMON32] C:\WINNT\system32\vmmon32.exe

O4 - HKLM\..\Run: [ifconfig.exe] C:\WINNT\system32\ifconfig.ex

Diese hier sollten auch gefixt werden! Mach aber vorher eine sicherung der Regestry ( start- ausfüren- regedit eingeben dann datei -exportieren dann sicherung 1 nennen und speichern wo du willst ) wenn nach dem fixen dann probleme auftreten einfach doppelklick auf die datei und die regestry ist widerhergestellt!
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoell.loc

O17 -
HKLM\System\CCS\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoell.loc

O17 - HKLM\System\CS1\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoell.loc

17 - HKLM\System\CS2\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201


Fixen im abgesicherten modus bei deaktivirter systemwiderherstellung

Ach so deinen IE solltest du aktualisieren und dann am besten nicht mehr benutzen sondern zb. mozilla firefox


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:41 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129