| |
| |||||||
Log-Analyse und Auswertung: Home Search Starsteite lässt sich nicht entfernenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
16.06.2004, 15:36
| #1 |
 |  Home Search Starsteite lässt sich nicht entfernen Leider habe ich mir wohl eine Variante von cool web search eingefangen. Weder cw shredder noch eines der anderen üblichen Programme haben geholfen. Ich habe auch aus einem Forumsbeitrag eine ander "Entferungsanleitung" versucht, mit deaktivierter Systemwiederherstellung, abgesichertem Modus, Hijack This mit fix der Einträge R1 und o2 BHO (no name) und anschliessendem scan mit Free e-scan. Hat auch 4 Viren gefunden und entfernt. Startseite ist immer noch da lediglich die Bezeichnung bei R1 hat von "inoko" auf "drugt" gewechselt. Wer kann mir weiterhelfen. Ich bin leider kein Profi und mit DOS so gut wie gar nicht vertraut! Hier ist mein Log file Gruss Willy  Logfile of HijackThis v1.97.7 Scan saved at 16:24:30, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\syswb32.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\ieih.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Willy\Eigene Dateien\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\drugt.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://drugt.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://drugt.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\drugt.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://drugt.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\drugt.dll/sp.html#96676 O2 - BHO: (no name) - {51171F50-9D25-81B0-458F-AA484B661F7B} - C:\WINDOWS\system32\ievk.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27e32a9b...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8046.139849537 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316 |
|
16.06.2004, 15:59
| #2 |
 | Home Search Starsteite lässt sich nicht entfernen </font><blockquote>Zitat:</font><hr /> O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
__________________O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316 </font>[/QUOTE]wenn nicht gewollt fixen </font><blockquote>Zitat:</font><hr /> C:\WINDOWS\system32\syswb32.exe C:\WINDOWS\System32\hpoipm07.exe C:\WINDOWS\ieih.exe </font>[/QUOTE]bitte überprüfen soltle aber der schädling sein </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe </font>[/QUOTE]der startaufruf dazu fixen mit HJT </font><blockquote>Zitat:</font><hr />O2 - BHO: (no name) - {51171F50-9D25-81B0-458F-AA484B661F7B} - C:\WINDOWS\system32\ievk.dll </font>[/QUOTE]find ich grad nix dazu sollte aber auch malware sein evtl sogar teil von deinem problem also auch fixen
__________________ |
|
16.06.2004, 18:07
| #3 |
| | Home Search Starsteite lässt sich nicht entfernen Hallo Olo,
__________________vielen Dank für die schnelle Antwort. Für was sind die beiden O16 - DPF: ... eigentlich zuständig? Bei den 3 Windows\... Einträgen hast Du bitte prüfen vermerkt, wie? [img]smile.gif[/img] |
|
16.06.2004, 21:19
| #4 |
| |  Home Search Starsteite lässt sich nicht entfernen Hallo Olo, vielen Dank, es scheint so als wäre alles wieder ok. Bin mal auf die Startseite morgen früh gespannt. Ich ahbe gehört es gibt ein paar hartnäckige Versionen von cool web search die nach Stunden plötzlich wieder aktiv sind. Könnt Ihr nochmal einen Blick auf meinen logfile werfen ob da "Alles" ok ist? [img]smile.gif[/img] Willy Logfile of HijackThis v1.97.7 Scan saved at 22:14:45, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\addmq32.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\WINDOWS\System32\wuauclt.exe C:\Dokumente und Einstellungen\Willy\Eigene Dateien\Downloads\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKLM\..\RunOnce: [crrj.exe] C:\WINDOWS\system32\crrj.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27e32a9b...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8046.139849537 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316 |
|
16.06.2004, 21:25
| #5 |
| | Home Search Starsteite lässt sich nicht entfernen so leid es mir tut aber das ding </font><blockquote>Zitat:</font><hr /> O4 - HKLM\..\RunOnce: [crrj.exe] C:\WINDOWS\system32\crrj.exe </font>[/QUOTE]gehört ganz sicher nicht rein :\ die exen kannst du bei etwa kaspersky online überprüfen http://www.kaspersky.com/scanforvirus die 016 sind imho java plugins wenn du die beiden seiten nicht kennst raus damit wenn das löschen dieser datei auch nichts bringt dann solltest du evtl jede einzelne exe überprüfen ich seh jedenfalls sonst nichts was unbedingt malware sein sollte...
__________________ Die Suchfunktion des Boards |
|
16.06.2004, 21:26
| #6 |
| |  Home Search Starsteite lässt sich nicht entfernen Leider brauche ich nicht bis morgen warten! Das Problem ist jetzt schon wieder da. Ich habe in meinem letzten logfile folgenden Eintrag gefunden: O4 - HKLM\..\RunOnce: [crrj.exe] C:\WINDOWS\system32\crrj.exe scheint mir merkwürdig, oder? Das ist mein aktueller logfile - wer kann mir da weiterhelfen? Logfile of HijackThis v1.97.7 Scan saved at 22:25:26, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\addmq32.exe C:\ATI-CPanel\atiptaxx.exe C:\WINDOWS\SOUNDMAN.EXE C:\PROGRA~1\NORTON~1\navapw32.exe C:\Programme\Microsoft Hardware\Keyboard\type32.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe C:\WINDOWS\System32\hpoipm07.exe C:\Programme\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe C:\WINDOWS\System32\wuauclt.exe C:\PROGRA~1\MICROS~4\Office10\OUTLOOK.EXE C:\WINDOWS\system32\syswb32.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Willy\Eigene Dateien\Downloads\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dimoi.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://dimoi.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://dimoi.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dimoi.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://dimoi.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\dimoi.dll/sp.html#96676 O2 - BHO: (no name) - {7352F9CD-FC2A-F515-BFD2-D01E88963271} - C:\WINDOWS\system32\winet.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\navapw32.exe O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [syswb32.exe] C:\WINDOWS\system32\syswb32.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\Symantec\LIVEUP~1\SNDMon.EXE O4 - HKLM\..\RunOnce: [crrj.exe] C:\WINDOWS\system32\crrj.exe O4 - Global Startup: CAPIControl.lnk = ? O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programme\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O9 - Extra button: Mobilen Favoriten erstellen (HKLM) O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM) O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/27e32a9b...dxIE601_de.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...8046.139849537 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?316 |
|
16.06.2004, 21:31
| #7 |
 | Home Search Starsteite lässt sich nicht entfernen Du bekämpfst im Moment nur die Symptome, aber nicht die Ursache. Mach mal einen Scan im abgesicherten Modus wichtig! mit dem Free eScan Antivirus Toolkit Utility.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
|
16.06.2004, 21:34
| #8 |
| | Home Search Starsteite lässt sich nicht entfernen ich spiel zwar ungern hiob aber : </font><blockquote>Zitat:</font><hr />C:\WINDOWS\system32\syswb32.exe </font>[/QUOTE]kennen wir doch oder  ?muss da grad lutz recht geben dachte eignetlich wir haetten dort die ursache nunja mach mal den scan dann schaun wir weiter
__________________ Die Suchfunktion des Boards |
|
16.06.2004, 21:36
| #9 |
| | Home Search Starsteite lässt sich nicht entfernen Hallo Lutz, danke für den Tipp, das habe ich schon 2x gemacht (und die Systemwiederherstellung deaktiviert). Er hat einmal 4 files gelöscht, zuletzt 2 files. Problem bleibt - die "verdächtigen" Einträge haben dannach nur neue Namen! Willy |
|
16.06.2004, 21:40
| #10 |
| | Home Search Starsteite lässt sich nicht entfernen Du surfst aber im moment doch hoffentlich nicht mit dem IE oder? wenn ja dann zieh dir bitte einen laternativ browser und surf erst mal damit ich mach mir grad nochma die muehe alle eintraege tauszusuchen die verdaechtig sind die dann bitte im abgesicherten modus fixen und die dateien löschen dann neustarten C:\WINDOWS\addmq32.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\WINDOWS\System32\hpoipm07.exe C:\WINDOWS\system32\syswb32.exe alles in r0 und r1 O2 - BHO: (no name) - {7352F9CD-FC2A-F515-BFD2-D01E88963271} - C:\WINDOWS\system32\winet.dll + autostartinträge davon unter 04 grundsätzlich jede exe die zu etwas gehört was du nicht kennst ist verdächtig diese sache mit dem Eumex hab ich vorher übersehn
__________________ Die Suchfunktion des Boards |
|
16.06.2004, 21:46
| #11 |
| | Home Search Starsteite lässt sich nicht entfernen Doch ich bin immer noch mit dem IE im Netz. Einen anderen Browser runterzuziehen ist mir momentan zu kompliziert, ich wüsste auch nicht welchen. Ich habe ein Home WLan Netzwerk und wechsle zu meinem Notebook und nehme den "befallenen Rechner" vom Netz! Willy |
|
16.06.2004, 21:51
| #12 |
| | Home Search Starsteite lässt sich nicht entfernen </font><blockquote>Zitat:</font><hr /> Ich habe ein Home WLan Netzwerk und wechsle zu meinem Notebook und nehme den "befallenen Rechner" vom Netz! </font>[/QUOTE]gute maßnahme und alternativbrowser gibts doch genug ich nehm opera hier die hp aber ganz vom netz ist natuerlich erstmal das beste
__________________ Die Suchfunktion des Boards |
|
16.06.2004, 22:08
| #13 |
| | Home Search Starsteite lässt sich nicht entfernen soooo... ich hab mich schon den ganzen Tag mit dem scheiss ding beschäftigt. Was ich bis jetzt rausgefunden habe ist das diese nummer mit der raute bei DIESEM Wurm immer gleich ist ... #96676 Der Wurm heißt TrojanDownloader.Win32.WinShow.u leider habe ich bei google nur sehr sehr wenig über ihn gefunden. Dieser Scanner erkennt den Wurm und löscht ihn. http://www.kaspersky.com/ Leider kommt er trotzdem immer wieder. Habe ihn auch noch nicht losbekommen. Meine Logfile nochmal... Logfile of HijackThis v1.97.7 Scan saved at 23:07:38, on 16.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe E:\Programme\D-Tools\daemon.exe C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe E:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe C:\WINDOWS\javaai32.exe E:\Programme\iTunes\iTunesHelper.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe E:\Programme\Logitech\SetPoint\kem.exe C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe E:\PROGRA~1\NORTON~1\NORTON~4\GHOSTS~2.EXE E:\Programme\Norton SystemWorks\Norton Antivirus\navapsvc.exe E:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE E:\PROGRAMME\LOGITECH\SETPOINT\KHALMNPR.EXE E:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\iPod\bin\iPodService.exe E:\Programme\Norton SystemWorks\Norton Antivirus\SAVScan.exe e:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\iphu.exe C:\Programme\Internet Explorer\iexplore.exe E:\Programme\Norton SystemWorks\Norton Antivirus\OPScan.exe D:\Programme\hijackthis1977\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zznyz.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://zznyz.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://zznyz.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\zznyz.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://zznyz.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\zznyz.dll/sp.html#96676 O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O2 - BHO: (no name) - {E29FD263-8F4B-4991-8255-7C16E147AD4F} - C:\WINDOWS\system32\winnj32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - E:\Programme\Norton SystemWorks\Norton Antivirus\NavShExt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [GhostStartTrayApp] E:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [javaai32.exe] C:\WINDOWS\javaai32.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [T-DSL SpeedMgr] "E:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [iTunesHelper] E:\Programme\iTunes\iTunesHelper.exe O4 - HKLM\..\Run: [KFWebServer] e:\Programme\KeyFocus\KFWS\bin\kfwsmon.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O4 - HKCU\..\Run: [YAAC] E:\Programme\LAB1.de\YAAC\YAAC.exe /AUTOSTART O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKLM\..\RunOnce: [iphu.exe] C:\WINDOWS\iphu.exe O4 - HKLM\..\RunOnce: [addge.exe] C:\WINDOWS\system32\addge.exe O4 - HKLM\..\RunOnce: [d3nm32.exe] C:\WINDOWS\d3nm32.exe O4 - HKLM\..\RunOnce: [ntet32.exe] C:\WINDOWS\ntet32.exe O4 - HKLM\..\RunOnce: [mssp32.exe] C:\WINDOWS\system32\mssp32.exe O4 - HKLM\..\RunOnce: [apips.exe] C:\WINDOWS\system32\apips.exe O4 - HKLM\..\RunOnce: [javafh.exe] C:\WINDOWS\system32\javafh.exe O4 - HKLM\..\RunOnce: [javady.exe] C:\WINDOWS\javady.exe O4 - HKLM\..\RunOnce: [crpx.exe] C:\WINDOWS\crpx.exe O4 - HKLM\..\RunOnce: [d3xv.exe] C:\WINDOWS\system32\d3xv.exe O4 - HKLM\..\RunOnce: [mfcim.exe] C:\WINDOWS\system32\mfcim.exe O4 - HKLM\..\RunOnce: [mshz32.exe] C:\WINDOWS\mshz32.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = ? O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM) O9 - Extra button: ICQ (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: @btrez.dll,-4015 (HKLM) O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 (HKLM) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab sind ein paar komische exen dabei aber ich habe sie alle einzeln scannen lassen und es wurde kein wurm oder so entdeckt. wenn ich diese Exen namen bei google eingebe finde ich keinen einzigen treffer. schon komisch oder ? ich hoffe ihr könnt mir weiterhelfen danke |
|
16.06.2004, 22:10
| #14 |
| | Home Search Starsteite lässt sich nicht entfernen C:\WINDOWS\addmq32.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\WINDOWS\System32\hpoipm07.exe C:\WINDOWS\system32\syswb32.exe Diese Dateien kann ich unter Hijack nicht fixen, entweder stelle ich mich zu doof an oder es geht nicht? Sie werden in der Auswahl nicht angezeigt, im logefile schon...? Ich war aber der Meinung das die in meinen vorherigen Scan schon zum anklicken gewesen sind. Habe ich einen Denkfehler? |
|
16.06.2004, 22:26
| #15 |
| | Home Search Starsteite lässt sich nicht entfernen </font><blockquote>Zitat:</font><hr /> C:\WINDOWS\addmq32.exe C:\Programme\Telekom\Eumex 404PC\Capictrl.exe C:\WINDOWS\System32\hpoipm07.exe C:\WINDOWS\system32\syswb32.exe </font>[/QUOTE]sind laufende prozesse die siehst du erst im logfile und kannst sie nicht fixen am besten im abgesicherten modus starten und löschen sollte das nicht ghen taskmanager aufrufen und prozesse beenden
__________________ Die Suchfunktion des Boards |
|
| Themen zu Home Search Starsteite lässt sich nicht entfernen |
| antivirus, bho, confused, dateien, desktop, einstellungen, ellung, explorer, helper, hijack, hijack this, hijackthis, internet, internet explorer, log, mein log, messenger, microsoft, monitor, nicht vertraut, object, officejet, programme, scan, shockwave, software, symantec, systemwiederherstellung, träge, viren, windows, windows xp |
Linear-Darstellung
