|
Log-Analyse und Auswertung: ie startseite: start.chm - pornoseiteWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
23.04.2004, 21:48 | #46 |
| ie startseite: start.chm - pornoseite Warum will mein PC immer nach Russland? IP: 81.211.105.70? Seitdem ich die Adresse über meine Firewall geblockt habe ist Ruhe mit der Startseite - kann aber auch Zufall sein! Kann jemand von Euch Russisch? Über Whois bekommt Ihr sogar eine Telefonnummer geliefert! Grüße von RON2 |
24.04.2004, 07:18 | #47 |
| ie startseite: start.chm - pornoseite @Ron: Die Datei ist unterwegs zu dir
__________________Ich habe auch mal den Rat mit Ad-Aware befolgt, hat zwar was gefunden und entfernt, aber danach kommt die Seite wieder. Gruß Klaus |
24.04.2004, 07:27 | #48 |
ie startseite: start.chm - pornoseite Hallo Klaus,
__________________poste mal bitte ein Log von HiJack-This. Ohne geht leider bei solchen Problemen nicht viel... Hast Du den CWShredder schon einmal im abgesicherten Modus laufen lassen? Gruß, Lutz
__________________ |
24.04.2004, 10:53 | #49 |
| ie startseite: start.chm - pornoseite OK, vermutlich sollte ich mich mal als Noob in diesem Bereich outen. Ich hab jetzt folgendes gemacht: -Hijack-this und CWShredder runtergeladen und auf neueste Version gebracht -CWShredder durchlaufen lassen und die einzige Meldung ASX3TEST.exe löschen lassen -Hijack-this durchgeführt -CWShredder im abgesicherten Modus ausgeführt (keine Meldung) -Beim Neustart hat die Firewall gemeldet, daß die rundll32.exe eine Verbindung möchte, habe ich gesperrt Hier noch das Hijack-log: Logfile of HijackThis v1.97.7 Scan saved at 11:29:50, on 24.04.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\fxssvc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\NILaunch.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\devldr32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realevent.exe C:\Programme\ZipGenius 5\zipgenius.exe C:\Dokumente und Einstellungen\Ich\Anwendungsdaten\ZipGenius\ZGTemp\9990421\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar1.dll O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [od-teen175] c:\programme\Webdialer\od-teen175.exe -m O4 - HKCU\..\Run: [od-teen108] c:\programme\Webdialer\od-teen108.exe -m O8 - Extra context menu item: &Google Search - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Parse with LeechGet - file://C:\Programme\LeechGet 2002\\parser.html O8 - Extra context menu item: Backward &Links - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download using &LeechGet - file://C:\Programme\LeechGet 2002\\AddUrl.html O8 - Extra context menu item: Download using LeechGet &Wizard - file://C:\Programme\LeechGet 2002\\Wizard.html O8 - Extra context menu item: Si&milar Pages - res://c:\windows\downloaded program files\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: Recherche-Assistent (HKLM) O9 - Extra button: Messenger (HKLM) O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM) O15 - Trusted Zone: http://www.conrad.de O15 - Trusted Zone: http://www.dialego.de O15 - Trusted Zone: http://www.ils.de O15 - Trusted Zone: http://*.windowsupdate.microsoft.com O15 - Trusted Zone: http://de.trendmicro-europe.com O15 - Trusted Zone: http://*.windowsupdate.com O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://housecall.trendmicro-europe.c...ll/Xscan53.cab O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...885.4681828704 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{06BD99DB-F7B6-4EA7-8FD8-558D7DA2AF48}: NameServer = 216.127.92.38 O17 - HKLM\System\CCS\Services\Tcpip\..\{57C48957-4B08-4883-A4CD-E4E331394BF6}: NameServer = 192.168.120.252,192.168.120.253 O17 - HKLM\System\CCS\Services\Tcpip\..\{B73A6F4A-4252-4959-8363-A510CE4B3993}: NameServer = 216.127.92.38 O17 - HKLM\System\CCS\Services\Tcpip\..\{C8D425AC-0A01-412F-95C2-5109B201A1AC}: NameServer = 216.127.92.38 O17 - HKLM\System\CCS\Services\Tcpip\..\{D21A62A5-5F44-402D-8FB6-38EC80065F97}: NameServer = 212.185.253.9 194.25.2.129 O17 - HKLM\System\CS1\Services\Tcpip\..\{06BD99DB-F7B6-4EA7-8FD8-558D7DA2AF48}: NameServer = 216.127.92.38 |
24.04.2004, 12:20 | #50 |
| ie startseite: start.chm - pornoseite </font><blockquote>Zitat:</font><hr /> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html O4 - HKCU\..\Run: [od-teen175] c:\programme\Webdialer\od-teen175.exe -m O4 - HKCU\..\Run: [od-teen108] c:\programme\Webdialer\od-teen108.exe -m O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe </font>[/QUOTE]Zumindest diese Einträge fixen. |
24.04.2004, 13:37 | #51 |
| ie startseite: start.chm - pornoseite Hallo Leute, bin neu hier! Habe das gleiche Problem und würde gerne wissen wo ihr diese start.html findet. Die start.chm habe ich immer unter system, die start.html kann ich auf meinem PC trotz allen Suchens, auch mit Start -> Suchen nicht finden. Danke im Vorraus |
24.04.2004, 17:59 | #52 |
ie startseite: start.chm - pornoseite Hallo, </font><blockquote>Zitat:</font><hr />OK, vermutlich sollte ich mich mal als Noob in diesem Bereich outen.</font>[/QUOTE]Überhaupt kein Problem! [img]smile.gif[/img] Bitte folgendes mit HijackThis im abgesicherten Modus fixen: </font><blockquote>Zitat:</font><hr /> R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\WINDOWS\start.chm::/start.html . . . O4 - HKCU\..\Run: [od-teen175] c:\programme\Webdialer\od-teen175.exe -m O4 - HKCU\..\Run: [od-teen108] c:\programme\Webdialer\od-teen108.exe -m . . . O16 - DPF: {11111111-1111-1111-1111-111111111123} - ms-its:mhtml:file://C:\bla.MHT!http://216.115.95.98//38ble.chm::/wincfgid.exe </font>[/QUOTE] </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [Net-It Launcher] C:\WINDOWS\System32\NILaunch.exe </font>[/QUOTE]Setzt Du Lotus Notes ein? Ansonsten könnte diese Datei verdächtig sein.. Die Einträge zu O15 und O17 solltest Du einmal selbst überprüfen, ob das von Dir gewollte Einträge sind. Die Dateien C:\WINDOWS\start.chm c:\programme\Webdialer\od-teen175.exe c:\programme\Webdialer\od-teen108.exe C:\bla.MHT bitte anschließend löschen. Gruß, Lutz
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
24.04.2004, 22:21 | #53 |
| ie startseite: start.chm - pornoseite erledigt bis dahin: Ja ich benutze Lotus (Damals...) mit den O17-Einträge kann ich nichts anfangen, was bedeuten diese? Noch eine kurze Frage zum Verständnis: Warum sollte alles aus dem abgesicherten Modus laufen? Achja, mein PC wollte auch zur obengenannten IP, habe ich durch meine Firewall verboten, seitdem ist kein Popup mehr da. Keine Ahnung ob das die wirkliche Ursache ist. Auf jeden Fall schon mal ein Dankeschön! Ich muß sagen, ich bin seit Mitte der 90er im Netz und erst seit einem halben Jahr muß ich mich um Viren kümmern. Und jetzt sind auch noch Trojaner dabei. War das vorher nur Glück oder sind die erst jetzt so aktiv? Gruß Klaus |
25.04.2004, 08:55 | #54 |
ie startseite: start.chm - pornoseite Hallo Klaus, </font><blockquote>Zitat:</font><hr />Ja ich benutze Lotus (Damals...)</font>[/QUOTE]Dann sollte der Eintrag OK sein. </font><blockquote>Zitat:</font><hr />mit den O17-Einträge kann ich nichts anfangen, was bedeuten diese?</font>[/QUOTE]Schau mal bitte hier nach: http://www.trojaner-board.de/51130-a...ijackthis.html Der (mehrfache) Eintrag 216.127.92.38 gehört laut Who is-Abfrage zu: </font><blockquote>Zitat:</font><hr /> OrgName: Everyones Internet, Inc. OrgID: EVRY Address: 2600 Southwest Freeway Address: Suite 500 City: Houston StateProv: TX PostalCode: 77098 Country: US </font>[/QUOTE]Evtl. ein Webhoster?!? </font><blockquote>Zitat:</font><hr />212.185.253.9</font>[/QUOTE]Gehört zu 'Deutsche Telekom AG'. Wenn Du t-online-Kunde bist, ist der Eintrag wohl ok. </font><blockquote>Zitat:</font><hr />192.168.120.252,192.168.120.253</font>[/QUOTE]Hast Du ein lokales Netzwerk (LAN) eingerichtet? Imho ist der Adressbereich 192.168.*.* für lokale Netze vorbehalten... </font><blockquote>Zitat:</font><hr />Noch eine kurze Frage zum Verständnis: Warum sollte alles aus dem abgesicherten Modus laufen?</font>[/QUOTE]Nun, im abgesicherten Modus startet Windows nur mit den Prozessen, die es selbst zum 'Überleben' braucht. Bei einem 'normalen' Bootvorgang werden alle Autostartaufrufe aus der Registry mitgestartet (z. B. Prozesse, die HijackThis unter O4 anzeigt). Wenn jetzt beispielsweise ein Malware-Prozess mitgestartet wird, lässt er sich in der Regel nicht beenden und somit auch nicht löschen. </font><blockquote>Zitat:</font><hr />...und erst seit einem halben Jahr muß ich mich um Viren kümmern. Und jetzt sind auch noch Trojaner dabei. War das vorher nur Glück oder sind die erst jetzt so aktiv?</font>[/QUOTE]Sagen wir so, es wird zumindest immer schlimmer. Und das auch immer schneller. Viele sprechen schon jetzt von 2004 als dem Malware-Jahr. Das Browser-HiJacking (Entführung auf unerwünschte Webseiten) gibt es imho seit rd. einem Jahr. Hier zeigen sich die 'Macher' scheinbar besonders aktiv und einfallsreich. Die bestehenden und bekannten Sicherheitslücken des InternetExplorers scheinen sich hierfür geradezu anzubieten... Deswegen wirst Du auch immer öfter den Tipp lesen, auf einen (zumindest zur Zeit noch) sichereren Browser umzusteigen. Gruß, Lutz
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
25.04.2004, 10:45 | #55 |
ie startseite: start.chm - pornoseite Hallo zusammen Vorweg bin neu hier im Board hab das Problem auf einem PC hier auch. Allerdings ist mir eine Sache aufgefallen die hier bisher nicht aufgetaucht ist : Die Datei start.html die ja einige kennen lies sich bei mir erstmal nicht öffnen bzw löschen/kopieren da auf sie zugegriffen wurde... Also schau ich im taskmngr mal nach was wir so alles haben dabei finde ich diesen : "access[2].exe" erstmal beendet danach lies sich die start.html problemlos löschen/editiern. hab mich dann erstmal gefragt was das denn nu fürne exe ist. habs bis jetzt nicht rausfinden können später lief noch einmal eine "access[1].exe" konnte auf dem pc weder access.exe noch access[2].exe finden Evtl kennt das ja jemand (Das Programm "Access" ist nicht installiert) Thomas
__________________ Die Suchfunktion des Boards |
25.04.2004, 11:01 | #56 |
| ie startseite: start.chm - pornoseite @KlausPeter: </font><blockquote>Zitat:</font><hr />@Ron: Die Datei ist unterwegs zu dir </font>[/QUOTE]... is wohl ne lange Leitung [img]graemlins/lach.gif[/img] - is bis jetzt noch nicht angekommen. Die Adresse lautet ron2@ron.at Grüße von RON2 |
25.04.2004, 11:54 | #57 |
| ie startseite: start.chm - pornoseite hi ich hatte auch das Problem mit der Startseite. Hab den Inhalt auch gelöscht und es geht alles OK. Hab die Datei start.chm noch auf Diskette (falls es mal ein ordentliches Removal-Tool gibt). Ich habe das Removal-Tool von Master-search nicht mal gesehen und dann wohl auch nicht benutzt...und trotzdem ist heute als mein Rechner im I-net war und ich kein Fenster offen hatte der IE angegangen und hat diese Seite http://www.master-search.com/top/date/?cid= mit einer Dating Werbung angezeigt. Woher kann das jetzt kommen?? |
25.04.2004, 17:25 | #58 |
| ie startseite: start.chm - pornoseite Die oben angeführten access Dateien gehören zu der Malware. Die werden bei mir im Zonealarm auch immer angezeigt. Sofort in der Firewall blocken. Leider nützt das nicht lange, auch das löschen der Datei nichts, da sie immer wieder neu genriert wird! |
25.04.2004, 17:34 | #59 |
/// Mr. Schatten | ie startseite: start.chm - pornoseite Es gibt hier keine "Access-Dateien". Das Programm MicrosoftAccess wird durch die Programmdatei MSACCESS.exe gestartet.
__________________ alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung keine Hilfe via PN hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort - |
25.04.2004, 18:15 | #60 |
Gast | ie startseite: start.chm - pornoseite Access.exe ist mit Sicherheit ein Dialer. Sollte von AntiVir beseitigt werden können. Auch bei Spybot sollte der Dialer mit dem nächsten Update erkannt werden. |
Themen zu ie startseite: start.chm - pornoseite |
als startseite, blaster, c:\windows, datei, folge, folgende, folgenden, freund, funktionier, gelöscht, hallo zusammen, helfen, ideen, nichts, probiert, problem, regedit, sache, sachen, starte, startet, startseite, wieder weg, windows, zusammen |