Startseite "Cool web search" - was tun?

cipi · 30.07.2005, 18:13

Habe seit 2 Tagen beim IE die Startseite hzzp://195.95.218.172/index.php eingetragen bekommen.
Lässt sich nicht ändern, CWShredder bringt nix, auch Löschen in der Registry nicht.

Wer kann helfen??

Hier der hijack-log:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 19:13:23, on 30.07.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
D:\download\pavissimo\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\paytime.exe
C:\WINDOWS\System32\paytime.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\simon\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AIM95\aim.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Pavo\Winamp\winamp.exe
C:\DOKUME~1\ADMINI~1\DESKTOP\PAVO\FIREFOX.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\Pavo\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.95.218.172/index.php
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Zone Labs Client] D:\download\pavissimo\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SpyStopper] C:\Dokumente und Einstellungen\Administrator\Desktop\Pavo\spy\spystopper.exe
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\simon\Cisco Systems\VPN Client\vpngui.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\simon\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

cronos · 30.07.2005, 18:57

Zunächst solltest du dir das Service Pack 2 zulegen, da dadurch die Sicherheit deines Systems erhöht wird.
Desweiteren benötigt dein Java ein Opdate .
Nun wechsle in den abgesicherten Modus bei deaktivierter Systemwiederherstellung .
Fixxe mittels HijackThis folgende Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://195.95.218.172/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://195.95.218.172/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://195.95.218.172/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = h**p://195.95.218.172/index.php
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe
O4 - HKCU\..\Run: [PayTime] C:\WINDOWS\System32\paytime.exe

Lösche manuell:

C:\WINDOWS\System32\paytime.exe

Jetzt scanne dein System mit Spybot und Adaware und lösche alle Funde.
Mit Spybot zusätzlich immunisieren.
Scanne dein System auch zu Sicherheit mit Escan .
Ist das abgearbeitet startest du neu erstellst im normalen Modus ein neues Hijackthis-Logfile und postest das zusammen mit den Escan Ergebnissen.

Startseite "Cool web search" - was tun?

Log-Analyse und Auswertung: Startseite "Cool web search" - was tun?

Startseite "Cool web search" - was tun?

Startseite "Cool web search" - was tun?

Ähnliche Themen: Startseite "Cool web search" - was tun?