Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Renitente Startseite

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 16.08.2004, 20:07   #1
matt
 
Renitente Startseite - Böse

Renitente Startseite



Hallo zusammen,

ich habe ein Problem, welches mich langsam in den Wahnsinn treibt!
Mein IE zeigt eine unerwünschte Startseite "http://bestsearch.cc".
Diese läßt sich kurzfristig über die Internetoptionen entfernen. Nach einem Neustart des IE ist Sie jedoch wieder da. Die Seite ist über ihre IP in der Regestry eingetragen (HKCU + HKLM /Software/Microsoft/Internet Explorer/Main + Search, weiterhin als Präfix und Ersatz für "www".
Ein Löschen aus der Registry bringt rein garnichts, da sich die Einträge automatisch wieder erneuern.

Daraufhin habe ich im abgesicherten Modus:
1. eScan laufen lassen und die enttarnten Trojaner wurden gelöscht.
2. Habe ich HiJack this laufen lassen und die Einträge gefixt.
3. habe ich HiJach this nochmals laufen lassen. Die Einträge waren verschwunden.
4. Habe ich HiJack this geschlossen und wieder geöffnet, gescannt und siehe da, die Einträge waren wieder da.
5. Wieder gefixt.
6. Erneut gescannt, Einträge weg.
7. Registry aufgerufen, Einträge gesucht und Einträge wieder da.
8. HiJack erneut gescannt, gefixt, erneut gescannt. Einträge wieder weg.
9. Beginne bei 4. und laufe in der Endlosschleife.

Langsam bin ich es leid!!!

Wer weiss Rat?

Liebe Grüße matt

Alt 16.08.2004, 20:12   #2
Cidre
Administrator, a.D.
 
Renitente Startseite - Standard

Renitente Startseite



Hallo,

poste doch mal ein Log-File, wenn das Problem besteht.
__________________

__________________

Alt 17.08.2004, 08:24   #3
N2BParka
 
Renitente Startseite - Standard

Renitente Startseite



Gehe zu diesen link

h**p://bestsearch.cc/remove.exe

der ist auch auf der Webseite unten links zu finden
__________________

Geändert von Andreas Ebert (17.08.2004 um 09:41 Uhr)

Alt 17.08.2004, 09:03   #4
Lutz
 

Renitente Startseite - Standard

Renitente Startseite



Vorsicht!


@N2BParka,
bitte keine direkten Downloadlinks anklickbar im Forum posten! Bitte ändere /lösche den Link!

@all
es ist grundsätzlich äußerste Vorsicht geboten, wenn von 'unbekannten Seiten' ausführbare Dateien heruntergeladen werden. Das sollte eigentlich klar sein. Bei diesen angeblichen Hijacker-Deinstallern kann man sich zusätzlich niemals sicher sein, hier nicht den Teufel mit dem Belzebub auszutreiben zu versuchen. Ich kann nur davon abraten solche 'angeblichen' Deinstaller auszuführen, wenn man nicht in der Lage ist, zu ermitteln, was diese genau durchführen. Und wer von uns kann das schon...?!?
__________________
Gruß, Lutz
***
"Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann)

Alt 17.08.2004, 09:05   #5
matt
 
Renitente Startseite - Standard

Renitente Startseite



Zitat:
Zitat von N2BParka
Gehe zu diesen link

http://bestsearch.cc/remove.exe

der ist auch auf der Webseite unten links zu finden
Danke für den Hinweis.

Bringt jedoch überhaupt nichts!!!

matt


Alt 17.08.2004, 09:19   #6
matt
 
Renitente Startseite - Standard

Renitente Startseite



Hallo zusammen,

hier nun der Post. Der erste ist der mit den Einträgen:


Logfile of HijackThis v1.98.2
Scan saved at 09:52:43, on 17.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\avsynmgr.exe
C:\WINDOWS\System32\apwsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\system32\RZPJWTCH.EXE
C:\Programme\PFU\ScanSnap!\Driver\PfuSsMon.exe
C:\Programme\PFU\ScanSnap!\CardMinder\bcd_file\SbCRecE.exe
C:\PROGRA~1\OfficeXP\Office10\OUTLOOK.EXE
C:\Programme\Quester\OutlookFolders\OLWServer.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\FriFon32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php
O2 - BHO: SCardBHOEvent Class - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DV02DF~1.DLL
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CSINIT] C:\WINDOWS\System32\spool\DRIVERS\W32X86\CSINIT.EXE
O4 - HKLM\..\Run: [CardMinder] C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: NaturalColorLoad.lnk = ?
O4 - Startup: OutlookFolders.lnk = C:\Programme\Quester\OutlookFolders\OLWServer.exe
O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: Verknüpfung mit FriFon32.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\system32\RZPJWTCH.EXE
O4 - Global Startup: ScanSnap! Monitor.lnk = ?
O4 - Global Startup: VIWAS-Update.lnk = C:\DATEV\PROGRAMM\VIWAS\viwasupd.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?


Nun der Eintrag nach HiJack this

Logfile of HijackThis v1.98.2
Scan saved at 09:59:22, on 17.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\avsynmgr.exe
C:\WINDOWS\System32\apwsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\system32\RZPJWTCH.EXE
C:\Programme\PFU\ScanSnap!\Driver\PfuSsMon.exe
C:\Programme\PFU\ScanSnap!\CardMinder\bcd_file\SbCRecE.exe
C:\PROGRA~1\OfficeXP\Office10\OUTLOOK.EXE
C:\Programme\Quester\OutlookFolders\OLWServer.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe

O2 - BHO: SCardBHOEvent Class - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DV02DF~1.DLL
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DVIVRES] C:\DATEV\PROGRAMM\WINIV\pc-abo.exe
O4 - HKLM\..\Run: [DVCCSAWTSSetEntryNTE] C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe on
O4 - HKLM\..\Run: [CSINIT] C:\WINDOWS\System32\spool\DRIVERS\W32X86\CSINIT.EXE
O4 - HKLM\..\Run: [CardMinder] C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: NaturalColorLoad.lnk = ?
O4 - Startup: OutlookFolders.lnk = C:\Programme\Quester\OutlookFolders\OLWServer.exe
O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: Verknüpfung mit FriFon32.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\system32\RZPJWTCH.EXE
O4 - Global Startup: ScanSnap! Monitor.lnk = ?
O4 - Global Startup: VIWAS-Update.lnk = C:\DATEV\PROGRAMM\VIWAS\viwasupd.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe


Ich habe die auf jeden Fall korekten Zeilen der Übersicht halber entfernt.
Die Logs wechseln sich ab. Gescant, gefixt, HiJack geschlossen, heruntergefahren, Hijack geöffnet, gescannt, gefixt und so weiter und so fort.

Gruß matt

Alt 17.08.2004, 21:41   #7
*Christian*
Gast
 
Renitente Startseite - Standard

Renitente Startseite



Da ist einiges drin!
Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein neues HijackThis-Log!

Antwort

Themen zu Renitente Startseite
abgesicherten, abgesicherten modus, automatisch, einträge, erneut, escan, gescannt, geschlossen, gesucht, hallo zusammen, hijack, hijack this, interne, langsam, laufen, löschen, modus, neustart, problem, registry, seite, startseite, this, trojaner, träge, unerwünschte, unerwünschte startseite, zusammen




Ähnliche Themen: Renitente Startseite


  1. Renitente Malware eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 17.02.2014 (3)
  2. startseite.com entfernen
    Plagegeister aller Art und deren Bekämpfung - 12.01.2014 (11)
  3. Startseite ist nicht mehr Startseite
    Log-Analyse und Auswertung - 17.10.2013 (5)
  4. Probleme mit Startseite im IE
    Log-Analyse und Auswertung - 26.10.2005 (8)
  5. Startseite
    Alles rund um Windows - 03.07.2005 (5)
  6. Trojaner mit Startseite
    Plagegeister aller Art und deren Bekämpfung - 27.04.2005 (4)
  7. 213.159.117.134 als Startseite
    Log-Analyse und Auswertung - 13.03.2005 (5)
  8. v73.us als Startseite im IE
    Log-Analyse und Auswertung - 02.02.2005 (6)
  9. Startseite
    Plagegeister aller Art und deren Bekämpfung - 27.12.2004 (3)
  10. web--search Startseite
    Log-Analyse und Auswertung - 13.12.2004 (7)
  11. entführte Startseite
    Log-Analyse und Auswertung - 05.12.2004 (6)
  12. startseite...
    Log-Analyse und Auswertung - 02.12.2004 (13)
  13. Renitente .dll
    Plagegeister aller Art und deren Bekämpfung - 06.11.2004 (5)
  14. Startseite IE :Search for
    Log-Analyse und Auswertung - 26.09.2004 (2)
  15. startseite
    Plagegeister aller Art und deren Bekämpfung - 15.09.2004 (5)
  16. Renitente Startseite
    Log-Analyse und Auswertung - 18.08.2004 (2)
  17. IE-Startseite
    Plagegeister aller Art und deren Bekämpfung - 30.03.2004 (5)

Zum Thema Renitente Startseite - Hallo zusammen, ich habe ein Problem, welches mich langsam in den Wahnsinn treibt! Mein IE zeigt eine unerwünschte Startseite "http://bestsearch.cc". Diese läßt sich kurzfristig über die Internetoptionen entfernen. Nach einem - Renitente Startseite...
Archiv
Du betrachtest: Renitente Startseite auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.