Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Explorer Startseite ändert sich bei Reboot. (https://www.trojaner-board.de/51375-explorer-startseite-aendert-reboot.html)

jessig 06.04.2008 12:05
Explorer Startseite ändert sich bei Reboot.
 
Hallou Gemeinde,

mein erstes Problem.

Ich habe zwar schon eine vermutung aber ich möchte mein Problem trotzdem gerne Schildern.
Ich habe von einem Kollegen eine CD mit gebrannter Musik bekommen.
Auf dieser CD sind diverse Alben. Es sind auch andere Dateien wie txt. und so komischen Quark den man mit nichts öffnen kann.
Nungut.

Seit letzter Zeit ändert sich meine Firefox Startseite immer automatisch in eine andere Seite. Standartmäßig ist dort Google eingetragen, starte ich den PC aber neu ändert sich diese Seite immer auf www.yodl.de
Das kam mir irgendwie verdächtig vor.
Dann habe ich msconfig ausgeführt und geschaut was für Prozesse, Dienste und Programme ausgeführt werden. Es sind nicht viele aber von einigen habe ich keinerlei Schimmer was diese sein sollen.

Ich benutze Anvira Antivir Personal Edition CLassic, also die kostenlose Version.

Was könnte es sein?

SOll ich mal ein Log posten?
Soll ich mal Screenshots von der msconfig machen? Also die Dienste wo ich keine Ahnung habe was sie sein sollen.

BataAlexander 06.04.2008 12:06
Erstellung eines Hijacklog

- Hier gibt es eine Anleitung

jessig 06.04.2008 12:16
Vielen dank für die ausführliche Erklärung ;)
Frage noch: Warum war es nötig die .exe ind This.com umzubenennen?

In Zeile 34 vllt?


DIe Laufenden Prozesse

lsass.exe
spoolsv.exe
nvsvc32.exe
PnkBstrA.exe
RTHDCPL.EXE
Domino.exe


habe ich keine Ahnung was diese sind.




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:14:25, on 06.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\ZSSnp211.exe
C:\WINDOWS\Domino.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Setups\Virus\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yodl.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

BataAlexander 06.04.2008 12:37
Zitat:
Zitat von jessig (Beitrag 332646)
Vielen dank für die ausführliche Erklärung ;)
Frage noch: Warum war es nötig die .exe ind This.com umzubenennen?
Einige Schädlinge, erkennen den Prozess anhand des Namens und stoppen ihn. Manchmal sind auch komplett alle .exe Dateien vom Ausführen gesperrt, dasher als Beispiel this.com.

Das Du einige Prozesse nicht kennst, ist normal, das sind i.d.R Systemprozesse, don´t worry. :)

Der Domino Prozess kommt von einer Digitalkamera, hast Du auf dem Rechner mal Treiber für eine installiert?

Gehe wiefolgt vor

Bitte öffne Deine HiJackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yodl.de

dann Klicke Fix Checked. Schließe HiJackThis.

Das sollte es gewesen sein. Wenn Du alelrdings sagts, dass diese Seite immer wieder kommt, dann liegt die Ursache woanders.
Hast Du seit dem Auftreteten dieses Problems, irgendwelche Software installiert?

jessig 06.04.2008 12:40
Also das mit dem Domino kann sein, ich hab ne Webcam installiert.

Nun... also ich habe jetzt mal direkt im INternet Explorer die Startseite geändert.

Wenn ich jetz das Log laufen lasse kommt anstatt Yodl auch wieder google.

Wie es bei einem Reboot ist werde ich jetzt mal testen.

Wenns nix bringt werde ich das was du geschrieben hast ausführen.

EDIT:

Der erste boot hat schon mal funktioniert. Die Startseite is NOCH google.de

Wenn es wieder was neues gibt melde ich mich auf jeden fall wieder.

BataAlexander 06.04.2008 12:57
Zitat:
Zitat von jessig (Beitrag 332651)
Wenn es wieder was neues gibt melde ich mich auf jeden fall wieder.
:daumenhoc Mach das, viel Erfolg.

jessig 09.04.2008 14:48
Hmm das problem besteht weiterhin.

Rechner neu starten > Startseite beim Firefox und IE steht auf Yodl.

In der Registry steht sogar als Start Page Yodl.de

jessig 11.04.2008 22:55
Hmm kann keiner Helfen?

Debian_300 11.04.2008 23:18
hallo,

das hört sich nach Swizzor an.

habe diese anleitung im Board gefunden vielleicht hilfst ;)

Klick

Keine große Sache. aber da im log Nix zu sehen ist,kann ich dazu kaum was sagen ;)

myrtille 11.04.2008 23:59
Hi,

du kannst die swizzor-anleitung mal abarbeiten, aber ich bezweifele dass sie irgendwas an deinem Problem ändern wird.

2 Möglichkeiten, die deine Situation ändern könnten, hätte ich noch im Angebot:

1. Starte Firefox, gebe in der Adressleiste about:config ein und suche nach den Einträge mit "Startpage", lösche die Einträge mit yodl.de und ersetze sie gegebenenfalls mit Einträgen von google.

Wenn das nicht reicht:
2. Lade dir folgendes Tool herunter: RegSearch und gebe als Suchbegrif "yodl" ein. Poste das erscheinende Log dann hier, damit lässt sich der Bösewicht wahrscheinlich finden.

Besteht das Problem eigentlich nur bei Firefox, oder auch bei Explorer, bzw InternetExplorer?

lg myrtille

jessig 13.04.2008 20:10
Zu der Swizzor Anleitung...

Ihh wüsste nicht welche Software ich deinstallieren soll.

Das Problem besteht auch beim IE

myrtille 14.04.2008 06:52
Hast du den ICQ-Awayreader installiert?

Ich hab den Tipp bekommen, dass dieses Programm wohl verantwortlich für die Startseite ist.
Deinstalliere das Tool mal und berichte ob sich etwas ändert/ das Problem behoben ist?

lg myrtille

jessig 14.04.2008 13:56
JAAA den Awayreader hab ich installiert und das is auch noch nicht so lange her. Von der Zeitspanne könnte das sogar passen. Ich werde es testen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131