Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Renitente Startseite

Renitente Startseite


Plagegeister aller Art und deren Bekämpfung: Renitente Startseite

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.08.2004, 20:07   #1
matt
 
Renitente Startseite - Böse

Renitente Startseite


Hallo zusammen,

ich habe ein Problem, welches mich langsam in den Wahnsinn treibt!
Mein IE zeigt eine unerwünschte Startseite "http://bestsearch.cc".
Diese läßt sich kurzfristig über die Internetoptionen entfernen. Nach einem Neustart des IE ist Sie jedoch wieder da. Die Seite ist über ihre IP in der Regestry eingetragen (HKCU + HKLM /Software/Microsoft/Internet Explorer/Main + Search, weiterhin als Präfix und Ersatz für "www".
Ein Löschen aus der Registry bringt rein garnichts, da sich die Einträge automatisch wieder erneuern.

Daraufhin habe ich im abgesicherten Modus:
1. eScan laufen lassen und die enttarnten Trojaner wurden gelöscht.
2. Habe ich HiJack this laufen lassen und die Einträge gefixt.
3. habe ich HiJach this nochmals laufen lassen. Die Einträge waren verschwunden.
4. Habe ich HiJack this geschlossen und wieder geöffnet, gescannt und siehe da, die Einträge waren wieder da.
5. Wieder gefixt.
6. Erneut gescannt, Einträge weg.
7. Registry aufgerufen, Einträge gesucht und Einträge wieder da.
8. HiJack erneut gescannt, gefixt, erneut gescannt. Einträge wieder weg.
9. Beginne bei 4. und laufe in der Endlosschleife.

Langsam bin ich es leid!!!

Wer weiss Rat?

Liebe Grüße matt

Alt 16.08.2004, 20:12   #2
Cidre
Administrator, a.D.
 
Renitente Startseite - Standard

Renitente Startseite


Hallo,

poste doch mal ein Log-File, wenn das Problem besteht.
__________________

__________________
Alt 17.08.2004, 08:24   #3
N2BParka
 
Renitente Startseite - Standard

Renitente Startseite


Gehe zu diesen link

h**p://bestsearch.cc/remove.exe

der ist auch auf der Webseite unten links zu finden
__________________
Geändert von Andreas Ebert (17.08.2004 um 09:41 Uhr)

Alt 17.08.2004, 09:03   #4
Lutz
 
Renitente Startseite - Standard

Renitente Startseite


Vorsicht!


@N2BParka,
bitte keine direkten Downloadlinks anklickbar im Forum posten! Bitte ändere /lösche den Link!

@all
es ist grundsätzlich äußerste Vorsicht geboten, wenn von 'unbekannten Seiten' ausführbare Dateien heruntergeladen werden. Das sollte eigentlich klar sein. Bei diesen angeblichen Hijacker-Deinstallern kann man sich zusätzlich niemals sicher sein, hier nicht den Teufel mit dem Belzebub auszutreiben zu versuchen. Ich kann nur davon abraten solche 'angeblichen' Deinstaller auszuführen, wenn man nicht in der Lage ist, zu ermitteln, was diese genau durchführen. Und wer von uns kann das schon...?!?
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 17.08.2004, 09:05   #5
matt
 
Renitente Startseite - Standard

Renitente Startseite


Zitat:
Zitat von N2BParka
Gehe zu diesen link

http://bestsearch.cc/remove.exe

der ist auch auf der Webseite unten links zu finden
Danke für den Hinweis.

Bringt jedoch überhaupt nichts!!!

matt


Alt 17.08.2004, 09:19   #6
matt
 
Renitente Startseite - Standard

Renitente Startseite


Hallo zusammen,

hier nun der Post. Der erste ist der mit den Einträgen:

Logfile of HijackThis v1.98.2
Scan saved at 09:52:43, on 17.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\avsynmgr.exe
C:\WINDOWS\System32\apwsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\system32\RZPJWTCH.EXE
C:\Programme\PFU\ScanSnap!\Driver\PfuSsMon.exe
C:\Programme\PFU\ScanSnap!\CardMinder\bcd_file\SbCRecE.exe
C:\PROGRA~1\OfficeXP\Office10\OUTLOOK.EXE
C:\Programme\Quester\OutlookFolders\OLWServer.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\FriFon32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php
O2 - BHO: SCardBHOEvent Class - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DV02DF~1.DLL
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CSINIT] C:\WINDOWS\System32\spool\DRIVERS\W32X86\CSINIT.EXE
O4 - HKLM\..\Run: [CardMinder] C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: NaturalColorLoad.lnk = ?
O4 - Startup: OutlookFolders.lnk = C:\Programme\Quester\OutlookFolders\OLWServer.exe
O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: Verknüpfung mit FriFon32.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\system32\RZPJWTCH.EXE
O4 - Global Startup: ScanSnap! Monitor.lnk = ?
O4 - Global Startup: VIWAS-Update.lnk = C:\DATEV\PROGRAMM\VIWAS\viwasupd.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?

Nun der Eintrag nach HiJack this

Logfile of HijackThis v1.98.2
Scan saved at 09:59:22, on 17.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\avsynmgr.exe
C:\WINDOWS\System32\apwsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\system32\RZPJWTCH.EXE
C:\Programme\PFU\ScanSnap!\Driver\PfuSsMon.exe
C:\Programme\PFU\ScanSnap!\CardMinder\bcd_file\SbCRecE.exe
C:\PROGRA~1\OfficeXP\Office10\OUTLOOK.EXE
C:\Programme\Quester\OutlookFolders\OLWServer.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe

O2 - BHO: SCardBHOEvent Class - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DV02DF~1.DLL
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DVIVRES] C:\DATEV\PROGRAMM\WINIV\pc-abo.exe
O4 - HKLM\..\Run: [DVCCSAWTSSetEntryNTE] C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe on
O4 - HKLM\..\Run: [CSINIT] C:\WINDOWS\System32\spool\DRIVERS\W32X86\CSINIT.EXE
O4 - HKLM\..\Run: [CardMinder] C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: NaturalColorLoad.lnk = ?
O4 - Startup: OutlookFolders.lnk = C:\Programme\Quester\OutlookFolders\OLWServer.exe
O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: Verknüpfung mit FriFon32.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\system32\RZPJWTCH.EXE
O4 - Global Startup: ScanSnap! Monitor.lnk = ?
O4 - Global Startup: VIWAS-Update.lnk = C:\DATEV\PROGRAMM\VIWAS\viwasupd.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe

Ich habe die auf jeden Fall korekten Zeilen der Übersicht halber entfernt.
Die Logs wechseln sich ab. Gescant, gefixt, HiJack geschlossen, heruntergefahren, Hijack geöffnet, gescannt, gefixt und so weiter und so fort.

Gruß matt

Alt 17.08.2004, 21:41   #7
*Christian*
Gast
 
Renitente Startseite - Standard

Renitente Startseite


Da ist einiges drin!
Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein neues HijackThis-Log!

Antwort

Themen zu Renitente Startseite
abgesicherten, abgesicherten modus, automatisch, einträge, erneut, escan, gescannt, geschlossen, gesucht, hallo zusammen, hijack, hijack this, interne, langsam, laufen, löschen, modus, neustart, problem, registry, seite, startseite, this, trojaner, träge, unerwünschte, unerwünschte startseite, zusammen


« Trojaner asuigg.dll /adarros.dll | Seite öffnet sich von selbst und anderes »


Ähnliche Themen: Renitente Startseite


  1. Renitente Malware eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 17.02.2014 (3)
  2. startseite.com entfernen
    Plagegeister aller Art und deren Bekämpfung - 12.01.2014 (11)
  3. Startseite ist nicht mehr Startseite
    Log-Analyse und Auswertung - 17.10.2013 (5)
  4. Probleme mit Startseite im IE
    Log-Analyse und Auswertung - 26.10.2005 (8)
  5. Startseite
    Alles rund um Windows - 03.07.2005 (5)
  6. Trojaner mit Startseite
    Plagegeister aller Art und deren Bekämpfung - 27.04.2005 (4)
  7. 213.159.117.134 als Startseite
    Log-Analyse und Auswertung - 13.03.2005 (5)
  8. v73.us als Startseite im IE
    Log-Analyse und Auswertung - 02.02.2005 (6)
  9. Startseite
    Plagegeister aller Art und deren Bekämpfung - 27.12.2004 (3)
  10. web--search Startseite
    Log-Analyse und Auswertung - 13.12.2004 (7)
  11. entführte Startseite
    Log-Analyse und Auswertung - 05.12.2004 (6)
  12. startseite...
    Log-Analyse und Auswertung - 02.12.2004 (13)
  13. Renitente .dll
    Plagegeister aller Art und deren Bekämpfung - 06.11.2004 (5)
  14. Startseite IE :Search for
    Log-Analyse und Auswertung - 26.09.2004 (2)
  15. startseite
    Plagegeister aller Art und deren Bekämpfung - 15.09.2004 (5)
  16. Renitente Startseite
    Log-Analyse und Auswertung - 18.08.2004 (2)
  17. IE-Startseite
    Plagegeister aller Art und deren Bekämpfung - 30.03.2004 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Renitente Startseite - Hallo zusammen, ich habe ein Problem, welches mich langsam in den Wahnsinn treibt! Mein IE zeigt eine unerwünschte Startseite "http://bestsearch.cc". Diese läßt sich kurzfristig über die Internetoptionen entfernen. Nach einem - Renitente Startseite...
Archiv
Du betrachtest: Renitente Startseite auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131