Hallo zusammen,

ich habe seit einigen Tagen ein für mich riesiges Problem , da ich am PC nicht so bewandert bin (eher der typische User).

Jedesmal wenn ich den Internet Explorer öffne, habe ich folgende Seite als Startseite:

res://C:\WINDOWS\System32\shdoclc.dll/navcancl.htm

Ich kann die Startseite ändern so of ich will, das führt zu keinem Erfolg.
Des öfteren kommt es auch vor, dass ich keine andere Internetseite öffnen kann da eine Meldung erscheint, welche wie eine Microsoft Warnung aussehen soll-dies passiert jedoch nur zeitweilig

Mein Virusprogramm (Ikarus) hat bisher auf meinem PC keinen Virus.

Bin für jede Hilfe Dankbar.

Gruß

Markus

Hallo,
siehe http://www3.ca.com/securityadvisor/v....aspx?id=40784

Hallo Cidre,

vielen Dank für die rasche Antwort, jedoch ist mein Problem, dass mein Englisch nicht ausreichend (hätte in der Schule doch aufpassen sollen) ist.

Gibt es die Anleitung zum Entfernen auch in Dt?

Schönen Gruß
Markus

Dann gehen wir es gemeinsam an:
Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Hallo Cidre,

danke f. d. Angebot mir hier zu helfen.

Leider konnte ich aufgrund der Feiertage nicht früher Antworten.
Nachfolgend das Log-File:

Logfile of HijackThis v1.99.0
Scan saved at 13:32:54, on 28.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Ikarus\GuardNT\GuardNT.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TelefonCD\OtbStart.EXE
C:\WINDOWS\System32\cryptwinspool.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Alcatel_PIMphony\aocphone.exe
C:\PROGRA~1\ALCATE~1\VMBSER~1.EXE
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
I:\RS2\stamm\menu.EXE
I:\rs2\centura\proc32.exe
I:\RS2\auftrag\V_AUFI.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass32.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [OtbStart] C:\Programme\TelefonCD\OtbStart.EXE
O4 - HKLM\..\Run: [Guard NT] C:\Ikarus\GuardNT\GuardNT.exe /STARTDLG /CPYTOKEN
O4 - HKLM\..\Run: [logsyshost] C:\WINDOWS\System32\cryptwinspool.exe
O4 - HKLM\..\Run: [spoolhostdatax] C:\WINDOWS\System32\data32service.exe %srun%
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [smss32crypt] C:\WINDOWS\System32\cryptwinspool.exe
O4 - HKCU\..\Run: [hostdiscx] C:\WINDOWS\System32\data32service.exe %srun%
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: PIMphony.lnk = C:\Programme\Alcatel_PIMphony\aocphone.exe
O13 - WWW. Prefix: http://ehttp.cc/?
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/v...fo/webscan.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.johannrain-softwareentwic...itdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...15/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D76C95A3-C476-43B4-B2D6-5178F0DB0289}: NameServer = 195.3.96.67,195.3.96.68
O23 - Service: Guard NT - Ikarus Software Wien - C:\Ikarus\GuardNT\GuardNT.exe
O23 - Service: OracleHome1ClientCache - Unknown - C:\OraHome1\BIN\ONRSD80.EXE
O23 - Service: OracleHome1ManagementServer - Unknown - C:\OraHome1\bin\OMSNTsrv.exe

Danke im voraus

Schönen Gruß

Markus

Hallo,

kennst du diese Datei C:\WINDOWS\System32\cryptwinspool.exe

Wenn nicht,lass sie bitte hier überprüfen:

http://virusscan.jotti.org/de poste dann das Ergebnis!

Zudem solltes du einen escan im abgesicherten Modus machen,geh genau nach der Anleitung vor,und poste von dort auch das Ergebnis hier her

http://www.trojaner-board.de/42731-escan-anleitung.html

Hy HerrKautz,


leider kommt beim überprüfen der Datei immer folgende Meldung
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

Nun steh ich hier ich armer Tor und bin so weise als zuvor

Gruß
Markus

Hi,

seltsam,mach bitte den escan,den Link siehst du in meinem anderen Posting,geh genau nach der Anleitung vor!

Ich geh davon aus,dass es sich da um Malware handelt!

Gruss

Edit:Mach mal die Firewall aus;Ikarus!Vielleicht geht es dann mit dem Upload!

Be escan ist folgendes herausgekommen:

File C:\WINDOWS\ietlbass32.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\cryptwinspool.exe infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\cryptwinspool.exe infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\cryptwinspool.exe infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ietlbass.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\ietlbass32.dll infected by "Trojan.Win32.StartPage.lj" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\TLBAssUI.exe infected by "Trojan.Win32.StartPage.ig" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\cryptwinspool.exe infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken.

Gruß
Markus

Keiner mehr ne Idee

Gruß
Markus

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\System32\data32service.exe

Warte dann ab bis du ein Feedback von mir oder einem anderen Member erhältst. Wenn nicht, dann führe dies aus:

Lösche alle von eScan erkannten Dateien manuell im abgesicherten Modus.
btw:
Auch diese: C:\WINDOWS\System32\data32service.exe

Fixe anschliessend mit HJT diese Einträge:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer
O2 - BHO: DOMP Class - {4C1B116F-2860-46db-8E6C-B4BFC4DFD683} - C:\WINDOWS\ietlbass32.dll
O4 - HKLM\..\Run: [logsyshost] C:\WINDOWS\System32\cryptwinspool.exe
O4 - HKLM\..\Run: [spoolhostdatax] C:\WINDOWS\System32\data32service.exe %srun%
O4 - HKCU\..\Run: [smss32crypt] C:\WINDOWS\System32\cryptwinspool.exe
O4 - HKCU\..\Run: [hostdiscx] C:\WINDOWS\System32\data32service.exe %srun%
O13 - WWW. Prefix: http://ehttp.cc/?

Hallo und Hilfe,

wurde das Problem gelöst?

Habe nämlich genau das gleich Problem !!!

Was muss ich nun jetzt genau tun???

@TT2000
eröffne einen neuen Thread und poste dort auch ein HijackThis Lofile.