Hallou Gemeinde,

mein erstes Problem.

Ich habe zwar schon eine vermutung aber ich möchte mein Problem trotzdem gerne Schildern.
Ich habe von einem Kollegen eine CD mit gebrannter Musik bekommen.
Auf dieser CD sind diverse Alben. Es sind auch andere Dateien wie txt. und so komischen Quark den man mit nichts öffnen kann.
Nungut.

Seit letzter Zeit ändert sich meine Firefox Startseite immer automatisch in eine andere Seite. Standartmäßig ist dort Google eingetragen, starte ich den PC aber neu ändert sich diese Seite immer auf www.yodl.de
Das kam mir irgendwie verdächtig vor.
Dann habe ich msconfig ausgeführt und geschaut was für Prozesse, Dienste und Programme ausgeführt werden. Es sind nicht viele aber von einigen habe ich keinerlei Schimmer was diese sein sollen.

Ich benutze Anvira Antivir Personal Edition CLassic, also die kostenlose Version.

Was könnte es sein?

SOll ich mal ein Log posten?
Soll ich mal Screenshots von der msconfig machen? Also die Dienste wo ich keine Ahnung habe was sie sein sollen.

Erstellung eines Hijacklog

- Hier gibt es eine Anleitung

Vielen dank für die ausführliche Erklärung
Frage noch: Warum war es nötig die .exe ind This.com umzubenennen?

In Zeile 34 vllt?


DIe Laufenden Prozesse

lsass.exe
spoolsv.exe
nvsvc32.exe
PnkBstrA.exe
RTHDCPL.EXE
Domino.exe


habe ich keine Ahnung was diese sind.




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:14:25, on 06.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\ZSSnp211.exe
C:\WINDOWS\Domino.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Media Player\wmplayer.exe
D:\Programme\ICQ6\ICQ.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
D:\Setups\Virus\This.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yodl.de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Zitat:

Zitat von jessig

Vielen dank für die ausführliche Erklärung
Frage noch: Warum war es nötig die .exe ind This.com umzubenennen?

Einige Schädlinge, erkennen den Prozess anhand des Namens und stoppen ihn. Manchmal sind auch komplett alle .exe Dateien vom Ausführen gesperrt, dasher als Beispiel this.com.

Das Du einige Prozesse nicht kennst, ist normal, das sind i.d.R Systemprozesse, don´t worry.

Der Domino Prozess kommt von einer Digitalkamera, hast Du auf dem Rechner mal Treiber für eine installiert?

Gehe wiefolgt vor

Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yodl.de

dann Klicke Fix Checked. Schließe HiJackThis.

Das sollte es gewesen sein. Wenn Du alelrdings sagts, dass diese Seite immer wieder kommt, dann liegt die Ursache woanders.
Hast Du seit dem Auftreteten dieses Problems, irgendwelche Software installiert?

Also das mit dem Domino kann sein, ich hab ne Webcam installiert.

Nun... also ich habe jetzt mal direkt im INternet Explorer die Startseite geändert.

Wenn ich jetz das Log laufen lasse kommt anstatt Yodl auch wieder google.

Wie es bei einem Reboot ist werde ich jetzt mal testen.

Wenns nix bringt werde ich das was du geschrieben hast ausführen.

EDIT:

Der erste boot hat schon mal funktioniert. Die Startseite is NOCH google.de

Wenn es wieder was neues gibt melde ich mich auf jeden fall wieder.

Zitat:

Zitat von jessig

Wenn es wieder was neues gibt melde ich mich auf jeden fall wieder.

Mach das, viel Erfolg.

Hmm das problem besteht weiterhin.

Rechner neu starten > Startseite beim Firefox und IE steht auf Yodl.

In der Registry steht sogar als Start Page Yodl.de

Hmm kann keiner Helfen?

hallo,

das hört sich nach Swizzor an.

habe diese anleitung im Board gefunden vielleicht hilfst

Klick

Keine große Sache. aber da im log Nix zu sehen ist,kann ich dazu kaum was sagen

Hi,

du kannst die swizzor-anleitung mal abarbeiten, aber ich bezweifele dass sie irgendwas an deinem Problem ändern wird.

2 Möglichkeiten, die deine Situation ändern könnten, hätte ich noch im Angebot:

1. Starte Firefox, gebe in der Adressleiste about:config ein und suche nach den Einträge mit "Startpage", lösche die Einträge mit yodl.de und ersetze sie gegebenenfalls mit Einträgen von google.

Wenn das nicht reicht:
2. Lade dir folgendes Tool herunter: RegSearch und gebe als Suchbegrif "yodl" ein. Poste das erscheinende Log dann hier, damit lässt sich der Bösewicht wahrscheinlich finden.

Besteht das Problem eigentlich nur bei Firefox, oder auch bei Explorer, bzw InternetExplorer?

lg myrtille

Zu der Swizzor Anleitung...

Ihh wüsste nicht welche Software ich deinstallieren soll.

Das Problem besteht auch beim IE

Hast du den ICQ-Awayreader installiert?

Ich hab den Tipp bekommen, dass dieses Programm wohl verantwortlich für die Startseite ist.
Deinstalliere das Tool mal und berichte ob sich etwas ändert/ das Problem behoben ist?

lg myrtille

JAAA den Awayreader hab ich installiert und das is auch noch nicht so lange her. Von der Zeitspanne könnte das sogar passen. Ich werde es testen.