Hab nen Problem mit der Default. home startpage. inetexplorer schmiert jedes 2te Mal ab und in der registry wird des startpage wert auch immer wieder umgestellt.Habe leider wenig Ahnung mit Hijack this etc. Adaware,Spybot etc konnten auch nicht helfen.
Hier die Log
Logfile of HijackThis v1.99.0
Scan saved at 22:58:22, on 21.01.2005
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP3 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\CPUCooL\CooLSrv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINNT\system32\nvsvc32.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINNT\explorer.exe
D:\Programme\ICQ\Icq.exe
E:\Action\hl\Steam\steam.exe
C:\PROGRA~1\HanseNet\HANSEN~1\app\EnterNet.exe
D:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\Rabe\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = www.jura.uni-hamburg.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://69.50.184.51/find4u/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\winnt\system32\www.bum-esports.com
O1 - Hosts: 209.66.123.175 sexyrabbit.com
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINNT\wtlbass32.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKCU\..\Run: [ccleaner] "D:\Programme\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [CTFMONSS] C:\WINNT\system32\CTFMONSS.EXE
O4 - HKCU\..\Run: [CSRSSW] C:\WINNT\system32\CSRSSW.EXE
O4 - HKCU\..\RunOnce: [ICQ] D:\Programme\ICQ\Icq.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - dapextie.htm
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - D:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\Programme\ICQ\ICQ.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: CPUCooLServer Service - Unknown - D:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto Protect Service - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PPPoE Service - Unknown - C:\PROGRA~1\HanseNet\HANSEN~1\app\pppoeservice.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZONELABS\vsmon.exe

Ich hoffe, ihr könnt mir helfen?!
Danke im Voraus.

Hallo,

dein System wurde von dir nicht ausreichend gepatcht bzw. nicht aktuell gehalten. Ich ahne nichts gutes aber führe trotzdem mal diese Punkte aus ->

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = www.jura.uni-hamburg.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://69.50.184.51/find4u/sp.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\winnt\system32\www.bum-esports.com
O1 - Hosts: 209.66.123.175 sexyrabbit.com
O2 - BHO: VDOMP Class - {A0ED918D-B8E6-4c3d-BD15-1DB1AE9A5DD3} - C:\WINNT\wtlbass32.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKCU\..\Run: [CSRSSW] C:\WINNT\system32\CSRSSW.EXE
O9 - Extra button: (no name) - c95fe080-8f5d-112d-a20b-00aa003c157a - (no file)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O15 - Trusted IP range: 206.161.125.149
O15 - Trusted IP range: (HKLM)

Scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hi Cidre !!
Erstmal Vielen Dank für dein Bemühungen.
Ich habe deine Instruktionen befolgt, dabei haben sich aber mehrere Fragen ergeben.
1.) der Link www.bsi.bund.de war doch überflüssig, da ich nicht WINDOWS XP sondern 2000 habe?!
2.)Wofür war der erste Scan mit escan?
3.)Ich habe dann auch mit hijack this neu gescannt und die von dir aufgezählten Sachen mit fix checked gefixt, dann n0chmal im abgesicherten Modus mit escan gescannt, die mwav.log ( und zwar die vom neusten scan, da es ja 2 scans gab, worauf sich auch die 2te Frage von mir ergibt) geöffnet. Konnte da aber nix finden unter Suchen Infected oder tagged. Die Worte sind nicht enthalten...
Daher sei hier die gesamte mwav.log (der scan unterm abgesicherten Modus) eingefügt.Hoffe, dass hilft?!
Sat Jan 22 15:29:03 2005 => **********************************************************
Sat Jan 22 15:29:03 2005 => eScan AntiVirus Toolkit Utility.
Sat Jan 22 15:29:03 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sat Jan 22 15:29:03 2005 => **********************************************************
Sat Jan 22 15:29:03 2005 => Version 4.8.6 (C:\DOKUME~1\Rabe\LOKALE~1\Temp\mwavscan.com)
Sat Jan 22 15:29:03 2005 => Log File: C:\DOKUME~1\Rabe\LOKALE~1\Temp\MWAV.LOG
Sat Jan 22 15:29:03 2005 => Latest Date of files inside MWAV: 21 Jan 2005 06:01:03.
Sat Jan 22 15:29:06 2005 => AV Library Loaded...
Sat Jan 22 15:29:06 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\kavss.exe
Sat Jan 22 15:29:06 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\Getvlist.exe
Sat Jan 22 15:29:06 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\kavss.dll
Sat Jan 22 15:29:06 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\kavssdi.dll
Sat Jan 22 15:29:06 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\kavssi.dll
Sat Jan 22 15:29:06 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\kavvlg.dll
Sat Jan 22 15:29:06 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\msvlclnt.dll
Sat Jan 22 15:29:07 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\ipc.dll
Sat Jan 22 15:29:07 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\main.avi
Sat Jan 22 15:29:07 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\virus.avi
Sat Jan 22 15:29:07 2005 => Virus Database Date: 2005/01/21
Sat Jan 22 15:29:07 2005 => Virus Database Count: 116178
Sat Jan 22 15:29:34 2005 => AV Library Unloaded (3)...
Sat Jan 22 15:31:13 2005 => **********************************************************
Sat Jan 22 15:31:13 2005 => eScan AntiVirus Toolkit Utility.
Sat Jan 22 15:31:13 2005 => Copyright © 2003-2004, MicroWorld Technologies Inc.
Sat Jan 22 15:31:13 2005 => **********************************************************
Sat Jan 22 15:31:13 2005 => Version 4.8.6 (C:\DOKUME~1\Rabe\LOKALE~1\Temp\mwavscan.com)
Sat Jan 22 15:31:13 2005 => Log File: C:\DOKUME~1\Rabe\LOKALE~1\Temp\MWAV.LOG
Sat Jan 22 15:31:13 2005 => Latest Date of files inside MWAV: 21 Jan 2005 06:01:03.
Sat Jan 22 15:31:15 2005 => AV Library Loaded...
Sat Jan 22 15:31:15 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\kavss.exe
Sat Jan 22 15:31:15 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\Getvlist.exe
Sat Jan 22 15:31:15 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\kavss.dll
Sat Jan 22 15:31:15 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\kavssdi.dll
Sat Jan 22 15:31:15 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\kavssi.dll
Sat Jan 22 15:31:15 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\kavvlg.dll
Sat Jan 22 15:31:15 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\msvlclnt.dll
Sat Jan 22 15:31:15 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\ipc.dll
Sat Jan 22 15:31:15 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\main.avi
Sat Jan 22 15:31:15 2005 => Scanning File C:\DOKUME~1\Rabe\LOKALE~1\Temp\virus.avi
Sat Jan 22 15:31:15 2005 => Virus Database Date: 2005/01/21
Sat Jan 22 15:31:15 2005 => Virus Database Count: 116178
Sat Jan 22 15:31:19 2005 => AV Library Unloaded (3)...

Mal was anderes. Ich weiss ja nicht, warum, aber ich glaube, das Problem existiert nicht mehr. Der IE funktioniert wieder wie gewohnt, und in der registry steht auch nicht mehr die default.home url.
Wie auch immer. Vielen Dank für deine Hilfe!!! Ich stehe in Deiner Schuld.
Mit freundlichem Gruß
Sir!us

Hallo,

Zu 1: Mein Fehler, hab dir den falschen Link gepostet.
Zu 2: Du solltest auch den eScan erst updaten und nicht gleich scannen. Der Scann war nach dem Fixen der Einträge angedacht.
Zu3: Dann passt´s ja. Der Grund für das ausbleiben des Problems war, dass du die Malware gelöscht und die Eintragungen derer in der Registry entfernt hast.

Lösche, falls noch nicht geschehen, diese Datei -> C:\WINNT\wtlbass32.dll

Arbeite unbedingt diese Punkte noch ab, denn sonst sehen wir uns bald wieder:
- Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Hallo,
Vielen Dank für deine Erkärung, durchaus plausibel.
Bin grade dabei mein System upzudaten. Vielen Dank auch für die weiteren Tipps.
Gruß

Bitte, gern geschehen.