|
Log-Analyse und Auswertung: Toolbar und Startseite verändertWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
16.01.2005, 15:39 | #1 |
| Toolbar und Startseite verändert Hier mein Hijack File. Ich brauche dringend Hilfe Logfile of HijackThis v1.99.0 Scan saved at 15:40:07, on 16.01.2005 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk D:\PROGRAMME\SYMANTEC\RTVSCN95.EXE D:\PROGRAMME\SYMANTEC\DEFWATCH.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE D:\PROGRAMME\SYMANTEC\VPTRAY.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\ATIPTAAA.EXE C:\PROGRAMME\OFFICE\MSOFFICE\OFFICE\OSA.EXE C:\PROGRAMME\OFFICE\MSOFFICE\OFFICE\FINDFAST.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE E:\BANKPOST\POSTEINGANG\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll O2 - BHO: (no name) - {7A8BDC00-6749-11D9-AA28-00040E26A3B8} - C:\WINDOWS\SYSTEM\MSXAF.DLL O2 - BHO: (no name) - {844DB921-6749-11D9-AA28-000468B434E2} - C:\WINDOWS\SYSTEM\MCICDB.DLL O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: FreshBar - {06ABAA2D-34AB-4902-A326-409BD9B9A7A5} - C:\WINDOWS\SYSTEM\IECUST.DLL O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ATIGART] c:\ati\gart\atigart.exe O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe O4 - HKLM\..\Run: [vptray] D:\PROGRA~1\SYMANTEC\vptray.exe O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [AtiPTA] Atiptaaa.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [rtvscn95] D:\PROGRA~1\SYMANTEC\rtvscn95.exe O4 - HKLM\..\RunServices: [defwatch] D:\PROGRA~1\SYMANTEC\defwatch.exe O4 - Startup: Office-Start.lnk = C:\Programme\Office\msoffice\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Office\msoffice\Office\FINDFAST.EXE O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O8 - Extra context menu item: &Download by NetAnts - D:\PROGRA~1\NETANTS\NAGet.htm O8 - Extra context menu item: Download &All by NetAnts - D:\PROGRA~1\NETANTS\NAGetAll.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - D:\PROGRA~1\NETANTS\NetAnts.exe O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - D:\PROGRA~1\NETANTS\NetAnts.exe O14 - IERESET.INF: START_PAGE_URL=http://www.lycos.de/ O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.188.180,195.225.176.31 O18 - Filter: text/html - {6ED87DC1-67BA-11D9-AA28-000403B3AF42} - C:\WINDOWS\SYSTEM\MCICDB.DLL O18 - Filter: text/plain - {6ED87DC1-67BA-11D9-AA28-000403B3AF42} - C:\WINDOWS\SYSTEM\MCICDB.DLL |
16.01.2005, 16:57 | #2 |
| Toolbar und Startseite verändert Downloade aber benutze es noch nicht:
__________________Download http://securityresponse.symantec.com...r/FxAgentB.exe Download und doppelklicke http://cwshredder.net/bin/CWShredder.exe. Dann schliesse ALLE Programme und beende Deine Internetverbindung, dann findest Du das Cwsshredder Icon auf Deinem Desktop, doppelklicken Klick Fix und dann Next, lass ihn entfernen was er auch immer will. Start HijackThis und mach einen Haken bei: R1 - HKCU\Software\Microsoft\Internet Explorer,(Default) = http://fastsearchweb.com/srh.php?q=%s R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\SYSTEM\MCICDB.DLL/sp.html (obfuscated) R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: (no name) - {7A8BDC00-6749-11D9-AA28-00040E26A3B8} - C:\WINDOWS\SYSTEM\MSXAF.DLL O2 - BHO: (no name) - {844DB921-6749-11D9-AA28-000468B434E2} - C:\WINDOWS\SYSTEM\MCICDB.DLL O18 - Filter: text/html - {6ED87DC1-67BA-11D9-AA28-000403B3AF42} - C:\WINDOWS\SYSTEM\MCICDB.DLL O18 - Filter: text/plain - {6ED87DC1-67BA-11D9-AA28-000403B3AF42} - C:\WINDOWS\SYSTEM\MCICDB.DLL Schliesse ALLE Programme ausser HijackThis and klicke fix Ohne Internetverbindung und mit allen Programmen geschlossen, starte das Symantec tool Wenn es fertig ist mache einen neustart. Es macht ein log das bitte mit posten. Starte es noch mal um sicherzustellen das da nichts mehr ist. Poste ein neues HijackThis log und das Symantec tool log
__________________ Geändert von Gnmpf (16.01.2005 um 17:03 Uhr) |
16.01.2005, 17:35 | #3 |
| Toolbar und Startseite verändert Zuvor noch eine Frage: Die ersten Einträge in dem Log von HIjack habe ich versucht zu fixen. Sie waren anschließend aber immer wieder neu drin. Woran kann das liegen? Die lästige Toolbar habe ich jetzt mittlerweile zum Verschwinden gebracht. Was aber geblieben ist, ist die lästige Search STart seite
__________________ |
16.01.2005, 19:25 | #5 |
| Toolbar und Startseite verändert Hi lade Dir escan lese dazu auch das http://www.trojaner-board.de/42731-escan-anleitung.html wichtig eigenes verzeichnis erstellen C:\Bases und dort rein entpacken (rechte maustaste und entpacken nach) dann die datei kavupd.exe ausführen kanneine weile dauern (Update) Nach dem Update mit mwavscan.com starten. Virus information Log im unteren Fenster kopieren und hier wieder reinposten. Dann machst Du einen neuen Hijack This das Log auch wieder hier her Bitte lese die Hilfe für eScan genau (abgesicherter Modus usw) Gruß Gigamail |
Themen zu Toolbar und Startseite verändert |
.inf, acrobat, adobe, bho, button, download, dringend, explorer, hijack, hijackthis, internet, internet explorer, links, microsoft, obfuscated, office, outlook express, programme, registry, rundll, rundll32.exe, seite, software, spybot, startseite, symantec, system, windows |