Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   www.search-space.com (https://www.trojaner-board.de/1899-www-search-space-com.html)

Iltis 06.01.2004 13:12
Hallo,
habe das Problem mit der Internet-Startseite (s.o.)
Kann mir jemand sagen, welche Adressen deaktiviert werden müssen???

Logfile of HijackThis v1.97.7
Scan saved at 12:36:54, on 06.01.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS.000\SYSTEM\KERNEL32.DLL
C:\WINDOWS.000\SYSTEM\MSGSRV32.EXE
C:\WINDOWS.000\SYSTEM\MPREXE.EXE
C:\WINDOWS.000\SYSTEM\mmtask.tsk
C:\WINDOWS.000\EXPLORER.EXE
C:\WINDOWS.000\SYSTEM\RNAAPP.EXE
C:\WINDOWS.000\SYSTEM\TAPISRV.EXE
C:\WINDOWS.000\TASKMON.EXE
C:\WINDOWS.000\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
D:\PROGRAMME\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE
D:\PHOTO-SMART\PHOTO IMAGING\HPI_MONITOR.EXE
D:\PHOTO-SMART\HP SHARE-TO-WEB\HPGS2WND.EXE
C:\WINDOWS.000\SYSTEM\STIMON.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\T-ONLINE4\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE
C:\WINDOWS.000\RunDLL.exe
C:\WINDOWS.000\NAVPMC\NAVPMC.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BANKING\HBREMIND.EXE
D:\PHOTO-SMART\HP SHARE-TO-WEB\HPGS2WNF.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAMME\WINZIP32\WZQKPICK.EXE
C:\PROGRAMME\SPAMPAL\SPAMPAL.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS.000\SYSTEM\WMIEXE.EXE
C:\WINDOWS.000\SYSTEM\PSTORES.EXE
C:\WINDOWS.000\SYSTEM\DDHELP.EXE
C:\WINDOWS.000\DESKTOP\HIJACKTHIS.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.lycos.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.germany.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://www.germany.aldi.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = hxxp://www.t-online.de/software/ie50/setpxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftp-proxy.btx.dtag.de:80;http=proxy.btx.dtag.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>
F1 - win.ini: run=hpfsched
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRAMME\FLASHGET\JCCATCH.DLL__SpybotSDDisabled (file missing)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRAMME\FLASHGET\FGIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS.000\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS.000\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS.000\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ELSAChipGuard] C:\WINDOWS.000\ELSAUTIL\elsavect.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] C:\PROGRAMME\TDSLSM\SPEEDMGR.EXE
O4 - HKLM\..\Run: [LWBMOUSE] d:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [CXMon] "d:\photo-smart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] d:\photo-smart\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS.000\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS.000\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [Control] rundll32.exe C:\WINDOWS.000\SYSTEM\ctrlpan.dll,Restore ControlPanel
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\T-ONLINE4\BSW4\ISDN SPEEDMANAGER\TOMCAT.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [init] C:\Programme\MyChannelMultimedia\PC SafetyKid\cad.exe
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS.000\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [cpntmgc] C:\WINDOWS.000\navpmc\NAVPMC.EXE
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [QuickTime Task] c:\windows.000\qttasks.exe
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip32\WZQKPICK.EXE
O4 - Startup: SpamPal.lnk = C:\Programme\SpamPal\spampal.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Mit FlashGet laden - D:\PROGRAMME\FLASHGET\jc_link.htm
O8 - Extra context menu item: Alles mit FlashGet laden - D:\PROGRAMME\FLASHGET\jc_all.htm
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: BINGOOO (HKLM)
O9 - Extra button: Web Inspector (HKLM)
O9 - Extra 'Tools' menuitem: &Web Inspector (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O9 - Extra button: Add bid (HKCU)
O9 - Extra 'Tools' menuitem: Add bid (HKCU)
O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.lycos.de/
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - hxxp://install.global-netcom.de/ieloader.cab
O16 - DPF: {486E48B5-ABF2-42BB-A327-2679DF3FB822} - hxxp://akamai.downloadv3.com/binaries/IA/ia.cab
O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - hxxp://player.virtools.com/downloads/player/Install2.5/Installer.exe
O19 - User stylesheet: C:\WINDOWS.000\hh.htt
O19 - User stylesheet: C:\WINDOWS.000\hh.htt (HKLM)


Herzlichen Dank im Voraus !
ILTIS [img]graemlins/crazy.gif[/img]

mmk 06.01.2004 13:22
Hallo,

willkommen im Trojaner-Board!

Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

->> System updaten, dringend!


Löschen:

O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKLM\..\Run: [Control] rundll32.exe C:\WINDOWS.000\SYSTEM\ctrlpan.dll,Restore ControlPanel

O4 - HKCU\..\Run: [QuickTime Task] c:\windows.000\qttasks.exe

O19 - User stylesheet: C:\WINDOWS.000\hh.htt
O19 - User stylesheet: C:\WINDOWS.000\hh.htt (HKLM)

Und dann: Browserwechsel:
- http://firebird-browser.de
- http://mozilla.kairo.at
- http://opera7.de

Iltis 07.01.2004 18:38
Hallo Markus,
danke für Deine rasche Antwort.

Was meinst du mit System updaten?
Warum soll ich den Browser wechseln?

*Christian* 07.01.2004 18:45
Du sollst deine WIN-Update-Funktion nützen und somit die neusten Sicherheitsupdates einspielen.

IE ist potentziell unsicher.
Einige Maleware nutzen die Sicherheitslücken vom IE aus. Darum Browserwechsel .....

Alles klaro?

MyThinkTank 07.01.2004 18:59
@all:

Was ist denn mit Zeile 016 in dem Log oben? Ich meine den Eintrag "ieloader.cab". KAV erkennt den als "Win32.ladder". Gehört wohl zu einem HiJacker.

Da Problem ist ist heute etwas verbreitet; guck mal in diesem Thread.

Weiß jemand zu diesem "win32.ladder" mehr? Google war da nicht so auskunftsfreudig.

(Betrifft wie immer nur IE-User :rolleyes: )

Gruß!
MyThinkTank

Lutz 07.01.2004 19:33
Moin MTT,

mit dem Stichwort 'ieloader.cab' wird google zumindest in anderen Foren fündig. Da heißt's dann auch immer, dass es ein HiJacker ist. Deine Vermutung ist demnach richtig. ;)
Spybot SD erkennt und entfernt den wohl schon seit längerem.

tschööö, DerBilk

raman 07.01.2004 19:59
Unter diesem Link wird dir ein Dialer angedreht!

mmk 07.01.2004 20:27
</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank:
Was ist denn mit Zeile 016 in dem Log oben? Ich meine den Eintrag "ieloader.cab".</font>[/QUOTE]Sorry, übersehen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:40 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129