|
Probleme mit Startseite v. Internet Explorer Hallo zusammen, ich habe seit einigen Tagen ein für mich riesiges Problem :heulen: , da ich am PC nicht so bewandert bin (eher der typische User). Jedesmal wenn ich den Internet Explorer öffne, habe ich folgende Seite als Startseite: res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm Ich kann die Startseite ändern so of ich will, das führt zu keinem Erfolg. Des öfteren kommt es auch vor, dass ich keine andere Internetseite öffnen kann da eine Meldung erscheint, welche wie eine Microsoft Warnung aussehen soll-dies passiert jedoch nur zeitweilig Mein Virusprogramm (Ikarus) hat bisher auf meinem PC keinen Virus. Bin für jede Hilfe Dankbar. Gruß Markus |
|
Hallo Cidre, vielen Dank für die rasche Antwort, jedoch ist mein Problem, dass mein Englisch nicht ausreichend (hätte in der Schule doch aufpassen sollen) ist. Gibt es die Anleitung zum Entfernen auch in Dt? Schönen Gruß Markus |
Dann gehen wir es gemeinsam an: Erstelle mit HiJackThis ein Log-File und poste es hier rein. Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen. |
Hallo Cidre, danke f. d. Angebot mir hier zu helfen. Leider konnte ich aufgrund der Feiertage nicht früher Antworten. Nachfolgend das Log-File: Logfile of HijackThis v1.99.0 Scan saved at 13:32:54, on 28.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Ikarus\GuardNT\GuardNT.exe C:\WINDOWS\Explorer.EXE C:\Programme\TelefonCD\OtbStart.EXE C:\WINDOWS\System32\cryptwinspool.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Alcatel_PIMphony\aocphone.exe C:\PROGRA~1\ALCATE~1\VMBSER~1.EXE C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE I:\RS2\stamm\menu.EXE I:\rs2\centura\proc32.exe I:\RS2\auftrag\V_AUFI.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199[1].zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass32.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE O4 - HKLM\..\Run: [Guard NT] C:\Ikarus\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN O4 - HKLM\..\Run: [logsyshost] C:\WINDOWS\System32\cryptwinspool.exe O4 - HKLM\..\Run: [spoolhostdatax] C:\WINDOWS\System32\data32service.exe %srun% O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [smss32crypt] C:\WINDOWS\System32\cryptwinspool.exe O4 - HKCU\..\Run: [hostdiscx] C:\WINDOWS\System32\data32service.exe %srun% O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PIMphony.lnk = C:\Programme\Alcatel_PIMphony\aocphone.exe O13 - WWW. Prefix: http://ehttp.cc/? O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...15/mcfscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D76C95A3-C476-43B4-B2D6-5178F0DB0289}: NameServer = 195.3.96.67,195.3.96.68 O23 - Service: Guard NT - Ikarus Software Wien - C:\Ikarus\GuardNT\GuardNT.exe O23 - Service: OracleHome1ClientCache - Unknown - C:\OraHome1\BIN\ONRSD80.EXE O23 - Service: OracleHome1ManagementServer - Unknown - C:\OraHome1\bin\OMSNTsrv.exe Danke im voraus Schönen Gruß Markus |
Hallo, kennst du diese Datei C:\WINDOWS\System32\cryptwinspool.exe Wenn nicht,lass sie bitte hier überprüfen: http://virusscan.jotti.org/de poste dann das Ergebnis! Zudem solltes du einen escan im abgesicherten Modus machen,geh genau nach der Anleitung vor,und poste von dort auch das Ergebnis hier her http://www.trojaner-board.de/42731-escan-anleitung.html |
Hy HerrKautz, leider kommt beim überprüfen der Datei immer folgende Meldung The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file Nun steh ich hier ich armer Tor und bin so weise als zuvor :crazy: Gruß Markus |
Hi, seltsam,mach bitte den escan,den Link siehst du in meinem anderen Posting,geh genau nach der Anleitung vor! Ich geh davon aus,dass es sich da um Malware handelt! Gruss Edit:Mach mal die Firewall aus;Ikarus!Vielleicht geht es dann mit dem Upload! |
Be escan ist folgendes herausgekommen: File C:\WINDOWS\ietlbass32.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\cryptwinspool.exe infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\cryptwinspool.exe infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\cryptwinspool.exe infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken. File C:\WINDOWS\ietlbass.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken. File C:\WINDOWS\ietlbass32.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken. File C:\WINDOWS\TLBAssUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\cryptwinspool.exe infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken. Gruß Markus |
Keiner mehr ne Idee :confused: Gruß Markus |
Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\WINDOWS\System32\data32service.exe Warte dann ab bis du ein Feedback von mir oder einem anderen Member erhältst. Wenn nicht, dann führe dies aus: Lösche alle von eScan erkannten Dateien manuell im abgesicherten Modus. btw: Auch diese: C:\WINDOWS\System32\data32service.exe Fixe anschliessend mit HJT diese Einträge: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass32.dll O4 - HKLM\..\Run: [logsyshost] C:\WINDOWS\System32\cryptwinspool.exe O4 - HKLM\..\Run: [spoolhostdatax] C:\WINDOWS\System32\data32service.exe %srun% O4 - HKCU\..\Run: [smss32crypt] C:\WINDOWS\System32\cryptwinspool.exe O4 - HKCU\..\Run: [hostdiscx] C:\WINDOWS\System32\data32service.exe %srun% O13 - WWW. Prefix: http://ehttp.cc/? |
Hallo und Hilfe, wurde das Problem gelöst? Habe nämlich genau das gleich Problem !!! Was muss ich nun jetzt genau tun??? |
@TT2000 eröffne einen neuen Thread und poste dort auch ein HijackThis Lofile. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board