|
Plagegeister aller Art und deren Bekämpfung: IE startet mit SuchseiteWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
29.01.2005, 17:08 | #1 |
| IE startet mit Suchseite Hi, wer kann mir helfen meinen IE zu bändigen? In der Adresszeile steht about:blank aber selbst offline startet eine "Search for..." Seite. Online kommen dann noch unzählige Pop Ups dazu, und hin und wieder kickt`s mich dann zur Suchseite zurück. Ich hab mit dem Bit Difender einen Trojaner gefunden (sp.dll), der lässt sich nicht entfernen, und wenn man ihn verschiebt, is er nach einem Neustart wieder da. HILFE!!! Danke im Vorraus Crystalship |
29.01.2005, 17:08 | #2 |
IE startet mit Suchseite erstelle ein HijackThis log wie es auf http://www.trojaner-board.de/51130-a...ijackthis.html steht und poste es.
__________________ |
29.01.2005, 17:13 | #3 |
| IE startet mit Suchseite Hi Cris14,
__________________So schauts aus: Logfile of HijackThis v1.99.0 Scan saved at 17:10:03, on 29.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE E:\Winamp\winampa.exe E:\CyberlinkPowerDVD\PDVDServ.exe C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe E:\Opera7\Opera.exe E:\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULFTRA~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULFTRA~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2F0F908B-BD26-47E5-907D-250202007847} - C:\WINDOWS\System32\lbaieb.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [WinampAgent] E:\Winamp\winampa.exe O4 - HKLM\..\Run: [RemoteControl] E:\CyberlinkPowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe O4 - HKLM\..\Run: [BDNewsAgent] C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe O4 - HKLM\..\Run: [BPP Disk Control Panel] E:\Global Safe Disk\disk_enc.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Adobe\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.1_01\bin\npjpi141_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\OFFICE~1\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{94455D55-19FE-438C-B614-2AC66D23A0A0}: NameServer = 62.104.191.241 62.104.196.134 O18 - Filter: text/html - {B0BBE7DC-A6E4-48B5-B973-E6FE01B24F1A} - C:\WINDOWS\System32\lbaieb.dll O18 - Filter: text/plain - {B0BBE7DC-A6E4-48B5-B973-E6FE01B24F1A} - C:\WINDOWS\System32\lbaieb.dll O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server - Unknown - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe O23 - Service: BitDefender Virus Shield - Unknown - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe O23 - Service: BitDefender Communicator - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe |
29.01.2005, 17:15 | #4 |
IE startet mit Suchseite ahja vermutlich startpage trojaner.. 1.escan -lade dir escan runter und gehe genau nach dieser anleitung vor 2.einträge löschen -fixe mit HijackThis diese einträge: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULFTRA~1\LOKALE~1\Temp\sp.dll/sp.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\ULFTRA~1\LOKALE~1\Temp\sp.dll/sp.html O2 - BHO: (no name) - {2F0F908B-BD26-47E5-907D-250202007847} - C:\WINDOWS\System32\lbaieb.dll O18 - Filter: text/html - {B0BBE7DC-A6E4-48B5-B973-E6FE01B24F1A} - C:\WINDOWS\System32\lbaieb.dll O18 - Filter: text/plain - {B0BBE7DC-A6E4-48B5-B973-E6FE01B24F1A} - C:\WINDOWS\System32\lbaieb.dll 3.dateien löschen -lösche die datei lbaieb.dll im ordner C:\WINDOWS\System32\ -lösche natürlich auch alle von escan beanstandeten dateien (alle infected) (falls die dateien nicht angezeigt werden gehe so vor: klicke auf extras, dann auf ordneroptionen klicke auf ansicht mach den haken bei "geschützte systemdateien ausblenden" weg mach nen haken bei "inhalte von systemordnern anzeigen" hin selektiere "alle dateien und ordner anzeigen") 4.ergebnisse -gehe wieder in den normalen modus -öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen -gebe infected ein -suche weiter,markiere die treffer und kopiere sie ins forum -poste ein neues HijackThis log |
29.01.2005, 17:29 | #5 |
| IE startet mit Suchseite Ok, dann werde ich mich mal ans werk machen. Download läuft. Ich melde mich nach 18h (MEZ+1 ???) wieder. Bis dahin Crystalship |
29.01.2005, 18:35 | #6 |
| IE startet mit Suchseite Hi Cris 14, ich hab e scan ausgeführt, der findet nur die Verseuchte Datei lbaieb.dll. Im Abgesicherten Modus habe ich also die von dir empfohlenen Dateien gefixt. Nur ich finde "C:\WINDOWS\System32\lbaieb.dll" nicht! Ich habe die Ordner Ansichten umgestellt, aber die betrpoffene Datei is nicht aufzufinden. Nach ia.......dll kommt ic........dll !!! Aber keine lbaieb.dll. Hab ich was vergessen??? Gruß crystalship |
29.01.2005, 18:40 | #7 |
| IE startet mit Suchseite Hast du bei "geschützte Systemdateien ausblenden (empfohlen)" auch den Haken entfernt?
__________________ Gruß: rich |
29.01.2005, 18:43 | #8 |
| IE startet mit Suchseite Hi Rich20, jep, das habe ich. |
29.01.2005, 18:44 | #9 |
| IE startet mit Suchseite @Crystalship Alle dateien anzeigen Entweder -> Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Oder -> Lade den Total Commander und nimm folgende Einstellung vor: Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK Navigiere im linken Fenster zum besagten Ordner oder Datei und lösche diese (markieren -> F8 -> JA). ZitatCidre chaosman
__________________ Bonus vir semper tiro |
29.01.2005, 18:48 | #10 |
| IE startet mit Suchseite Hi Chaosman, Wo finde ich den Total Comander??? Und: Bringt der mehr? |
29.01.2005, 18:50 | #11 |
| IE startet mit Suchseite
__________________ Bonus vir semper tiro |
29.01.2005, 18:55 | #12 |
| IE startet mit Suchseite @ chaosmann, mir fallen schon die einfachsten Sachen nicht mehr ein... ---> und damit finde ich files, die ich im Explorer nicht sehe??? |
29.01.2005, 19:03 | #13 |
| IE startet mit Suchseite download läuft... was mache ich mit den gefixten files??? Ich arbeite ja jetzt wieder im normalen Modus??? crystalship |
29.01.2005, 19:32 | #14 |
| IE startet mit Suchseite Hallo alle zusammen, ich finde ich finde die verXXX Datei c:\windows\system32\ibaieb.dll nicht, aber laut log muss die doch da sein. Ich zweifel langsam an mir selber! Ausserdem sind die Eingangs beschriebebnen Symptome weg, aber Bit Defender findet immer noch den gleichen Trojaner! Danke an alle die bis jetzt geholfen haben, aber was mache ich nun? crystalship |
29.01.2005, 19:35 | #15 |
Administrator, a.D. | IE startet mit Suchseite @ Crystalship Öffne den Total Commander und nimm folgende Einstellung vor: Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> OK Navigiere im linken Fenster zum besagten Ordner oder zur Datei und lösche (markieren -> F8 -> JA) diese. |
Themen zu IE startet mit Suchseite |
about, about:blank, adresszeile, bla, blank, entferne, entfernen, gefunde, helfen, lässt sich nicht entfernen, neustart, offline, online, pop ups, search, starte, startet, suchseite, troja, trojaner, trojaner gefunden, ups, verschiebt |