Auf diese Adresse verändert er meine Startseite!

http://oldsuki.com/

So sieht er aus:



Ich bin ihm mit AdAware, CWShredder, Spybot, HijackThis und dem Kaspersky-Virenscanner zu Leibe gerückt aber er ist äußerst hartnäckig und taucht wie Pheonix aus der Asche alle 24 Stunden wieder auf. Die Startseite kann man ohen Probleme wieder ändern aber das Biest kommt wie gesagt immer wieder!

Hier noch die HijackThis Log und da sieht man ihn auch gleich ganz deutlich:

</font><blockquote>Zitat:</font><hr />Logfile of HijackThis v1.97.7
Scan saved at 21:28:59, on 27.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Motherboard Monitor 5\MBM5.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Norton Personal Firewall\IAMAPP.EXE
C:\WINDOWS\hrtcm.exe
C:\Programme\NoAds\NoAds.exe
D:\Programm-Dateien\Netzwerk\LANMessage 3.0\LANMessage.exe
C:\Programme\Microsoft Money\System\reminder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\AVERTV2K\QuickTV.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis 1.97\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://oldsuki.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://oldsuki.com/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://oldsuki.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://oldsuki.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://oldsuki.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://oldsuki.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://oldsuki.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://oldsuki.com/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://oldsuki.com/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://oldsuki.com/search.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Resume copy] copyfstq.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [hrtcm] C:\WINDOWS\hrtcm.exe
O4 - HKCU\..\Run: [NoAds] "C:\Programme\NoAds\NoAds.exe"
O4 - HKCU\..\Run: [LANMessage] D:\Programm-Dateien\Netzwerk\LANMessage 3.0\LANMessage.exe Silent
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: QuickTV.lnk = C:\Programme\AVERTV2K\QuickTV.exe
O4 - Global Startup: TeleSA.lnk = C:\Programme\AVer Teletext\AVerSA.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Benutzt Copernic zur Suche - C:\Programme\Copernic 2001 Basic\Search Extension.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra 'Tools' menuitem: Starten 2001 (HKLM)
O9 - Extra button: Copernic (HKLM)
O9 - Extra button: Übersetzen (HKLM)
O9 - Extra 'Tools' menuitem: Überse&tzen mit Hilfe Gist-In-Time (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O9 - Extra button: NeoTrace It! (HKCU)
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {D3A7982E-915D-4589-8ECE-249F70D0C941} (Launch Control) - http://aaotracker.4players.de/LaunchGame.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB23D47B-E320-40C5-ABFD-28852F3B51A6}: NameServer = 213.191.74.19,213.191.92.86</font>[/QUOTE]

</font><blockquote>Zitat:</font><hr />Original erstellt von SSSG:
...aber er ist äußerst hartnäckig und taucht wie Pheonix aus der Asche alle 24 Stunden wieder auf.</font>[/QUOTE]Empfehlung: Setz das System neu auf!

Das ist ein Trojaner, löschen:
C:\WINDOWS\hrtcm.exe


C:\Programme\NoAds\NoAds.exe
Nebenbei: Macht den IE auch nicht sicherer. Ebensoweinig wie Norton AV und Internet Security dein System nicht wirklich sicherer machen können.


Lösch alle R0- und R1-Einträge über HijackThis sowie diesen:
O4 - HKLM\..\Run: [hrtcm] C:\WINDOWS\hrtcm.exe


Und dann: Browserwechsel!