|
Plagegeister aller Art und deren Bekämpfung: Renitente StartseiteWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
16.08.2004, 20:07 | #1 |
| Renitente Startseite Hallo zusammen, ich habe ein Problem, welches mich langsam in den Wahnsinn treibt! Mein IE zeigt eine unerwünschte Startseite "http://bestsearch.cc". Diese läßt sich kurzfristig über die Internetoptionen entfernen. Nach einem Neustart des IE ist Sie jedoch wieder da. Die Seite ist über ihre IP in der Regestry eingetragen (HKCU + HKLM /Software/Microsoft/Internet Explorer/Main + Search, weiterhin als Präfix und Ersatz für "www". Ein Löschen aus der Registry bringt rein garnichts, da sich die Einträge automatisch wieder erneuern. Daraufhin habe ich im abgesicherten Modus: 1. eScan laufen lassen und die enttarnten Trojaner wurden gelöscht. 2. Habe ich HiJack this laufen lassen und die Einträge gefixt. 3. habe ich HiJach this nochmals laufen lassen. Die Einträge waren verschwunden. 4. Habe ich HiJack this geschlossen und wieder geöffnet, gescannt und siehe da, die Einträge waren wieder da. 5. Wieder gefixt. 6. Erneut gescannt, Einträge weg. 7. Registry aufgerufen, Einträge gesucht und Einträge wieder da. 8. HiJack erneut gescannt, gefixt, erneut gescannt. Einträge wieder weg. 9. Beginne bei 4. und laufe in der Endlosschleife. Langsam bin ich es leid!!! Wer weiss Rat? Liebe Grüße matt |
16.08.2004, 20:12 | #2 |
Administrator, a.D. | Renitente Startseite Hallo,
__________________poste doch mal ein Log-File, wenn das Problem besteht.
__________________ |
17.08.2004, 08:24 | #3 |
| Renitente Startseite Gehe zu diesen link
__________________h**p://bestsearch.cc/remove.exe der ist auch auf der Webseite unten links zu finden Geändert von Andreas Ebert (17.08.2004 um 09:41 Uhr) |
17.08.2004, 09:03 | #4 |
Renitente Startseite Vorsicht! @N2BParka, bitte keine direkten Downloadlinks anklickbar im Forum posten! Bitte ändere /lösche den Link! @all es ist grundsätzlich äußerste Vorsicht geboten, wenn von 'unbekannten Seiten' ausführbare Dateien heruntergeladen werden. Das sollte eigentlich klar sein. Bei diesen angeblichen Hijacker-Deinstallern kann man sich zusätzlich niemals sicher sein, hier nicht den Teufel mit dem Belzebub auszutreiben zu versuchen. Ich kann nur davon abraten solche 'angeblichen' Deinstaller auszuführen, wenn man nicht in der Lage ist, zu ermitteln, was diese genau durchführen. Und wer von uns kann das schon...?!?
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
17.08.2004, 09:05 | #5 | |
| Renitente StartseiteZitat:
Bringt jedoch überhaupt nichts!!! matt |
17.08.2004, 09:19 | #6 |
| Renitente Startseite Hallo zusammen, hier nun der Post. Der erste ist der mit den Einträgen: Logfile of HijackThis v1.98.2 Scan saved at 09:52:43, on 17.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Network Associates\VirusScan\avsynmgr.exe C:\WINDOWS\System32\apwsrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Network Associates\VirusScan\VsStat.exe C:\Programme\Network Associates\VirusScan\Vshwin32.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe C:\Programme\Network Associates\VirusScan\Webscanx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\SEC\Natural Color\NaturalColorLoad.exe C:\WINDOWS\system32\RZPJWTCH.EXE C:\Programme\PFU\ScanSnap!\Driver\PfuSsMon.exe C:\Programme\PFU\ScanSnap!\CardMinder\bcd_file\SbCRecE.exe C:\PROGRA~1\OfficeXP\Office10\OUTLOOK.EXE C:\Programme\Quester\OutlookFolders\OLWServer.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\Programme\FRITZ!\FriFax32.exe C:\Programme\FRITZ!\FriFon32.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php O2 - BHO: SCardBHOEvent Class - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DV02DF~1.DLL O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [CSINIT] C:\WINDOWS\System32\spool\DRIVERS\W32X86\CSINIT.EXE O4 - HKLM\..\Run: [CardMinder] C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe O4 - Startup: Microsoft Outlook.lnk = ? O4 - Startup: NaturalColorLoad.lnk = ? O4 - Startup: OutlookFolders.lnk = C:\Programme\Quester\OutlookFolders\OLWServer.exe O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Startup: Verknüpfung mit FriFon32.lnk = C:\Programme\FRITZ!\FriFon32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\system32\RZPJWTCH.EXE O4 - Global Startup: ScanSnap! Monitor.lnk = ? O4 - Global Startup: VIWAS-Update.lnk = C:\DATEV\PROGRAMM\VIWAS\viwasupd.exe O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe O13 - DefaultPrefix: http://69.50.191.50/? O13 - WWW Prefix: http://69.50.191.50/? Nun der Eintrag nach HiJack this Logfile of HijackThis v1.98.2 Scan saved at 09:59:22, on 17.08.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Network Associates\VirusScan\avsynmgr.exe C:\WINDOWS\System32\apwsrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Network Associates\VirusScan\VsStat.exe C:\Programme\Network Associates\VirusScan\Vshwin32.exe C:\WINDOWS\SCARDS32.EXE C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe C:\WINDOWS\Explorer.EXE C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\Programme\SEC\Natural Color\NaturalColorLoad.exe C:\WINDOWS\system32\RZPJWTCH.EXE C:\Programme\PFU\ScanSnap!\Driver\PfuSsMon.exe C:\Programme\PFU\ScanSnap!\CardMinder\bcd_file\SbCRecE.exe C:\PROGRA~1\OfficeXP\Office10\OUTLOOK.EXE C:\Programme\Quester\OutlookFolders\OLWServer.exe C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe C:\Programme\FRITZ!\FriFax32.exe C:\Programme\FRITZ!\FriFon32.exe C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe O2 - BHO: SCardBHOEvent Class - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DV02DF~1.DLL O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [DVIVRES] C:\DATEV\PROGRAMM\WINIV\pc-abo.exe O4 - HKLM\..\Run: [DVCCSAWTSSetEntryNTE] C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe on O4 - HKLM\..\Run: [CSINIT] C:\WINDOWS\System32\spool\DRIVERS\W32X86\CSINIT.EXE O4 - HKLM\..\Run: [CardMinder] C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe O4 - Startup: Microsoft Outlook.lnk = ? O4 - Startup: NaturalColorLoad.lnk = ? O4 - Startup: OutlookFolders.lnk = C:\Programme\Quester\OutlookFolders\OLWServer.exe O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe O4 - Startup: Verknüpfung mit FriFon32.lnk = C:\Programme\FRITZ!\FriFon32.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: NaturalColorLoad.lnk = ? O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\system32\RZPJWTCH.EXE O4 - Global Startup: ScanSnap! Monitor.lnk = ? O4 - Global Startup: VIWAS-Update.lnk = C:\DATEV\PROGRAMM\VIWAS\viwasupd.exe O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe Ich habe die auf jeden Fall korekten Zeilen der Übersicht halber entfernt. Die Logs wechseln sich ab. Gescant, gefixt, HiJack geschlossen, heruntergefahren, Hijack geöffnet, gescannt, gefixt und so weiter und so fort. Gruß matt |
17.08.2004, 21:41 | #7 |
Gast | Renitente Startseite Da ist einiges drin! Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083 Danach poste bitte ein neues HijackThis-Log! |
Themen zu Renitente Startseite |
abgesicherten, abgesicherten modus, automatisch, einträge, erneut, escan, gescannt, geschlossen, gesucht, hallo zusammen, hijack, hijack this, interne, langsam, laufen, löschen, modus, neustart, problem, registry, seite, startseite, this, trojaner, träge, unerwünschte, unerwünschte startseite, zusammen |