Da nervt was ganz arg, Seitenumlenkung ?

moppie05 · 28.09.2004, 17:14

Hallo, ich bin neu hier und hoffe ich werd nicht gleich erschossen

...ich habe folgendes Problem, wenn ich eine mir bekannte Internetadresse abrufen möchte in AOL, dann wird mir folgender Salm angezeigt statt der Seite mit derem Namen h**p://spywarealert.net@ehttp.cc/6.htm. Wer hatte schon einmal das Prob und wie kann man das lösen? Ad-aware findet nichts verdächtiges. Danke andrea

Cidre · 28.09.2004, 18:53

Hallo,

erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

moppie05 · 29.09.2004, 07:03

Guten Morgen Cidre,

danke für den Tip, der Download brauchte mehrere Versuche aber hier ist das Resultat.
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
C:\Programme\NASDAK\OmniMaus Software\2.1\MOUSE32A.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\Netropa\InetKb\Inetkb.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
F:\XSPIELE\WINZIP\wzqkpick.exe
F:\daten\software\tools\hijack_this\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.ewebsearch.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.****/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {D5E4E6B7-FA61-4A29-B649-2B3471C35A47} - C:\WINDOWS\System32\cce.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\NASDAK\OmniMaus Software\2.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=100604 serial=DR12WES-3007622-EUW lang=DE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe
O4 - Global Startup: WinZip Quick Pick.lnk = F:\xspiele\WinZip\WZQKPICK.EXE
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - DefaultPrefix: h**p://ehttp.cc/?
O13 - WWW Prefix: h**p://ehttp.cc/?
O13 - WWW. Prefix: h**p://ehttp.cc/?
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{51A96180-95C1-404A-A0EB-6CE07B37C41B}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{F883D510-D5B6-4CC2-94A6-4FCBE73DB027}: NameServer = 192.168.122.252,192.168.122.253
O18 - Filter: text/html - {2F841805-DF98-43A7-BFA6-30748A595282} - C:\WINDOWS\System32\iai.dll
O18 - Filter: text/plain - {2F841805-DF98-43A7-BFA6-30748A595282} - C:\WINDOWS\System32\iai.dll
O19 - User stylesheet: C:\WINDOWS\my.css (file missing)
O19 - User stylesheet: C:\WINDOWS\my.css (file missing) (HKLM)

Ich denke dort wo o13 steht ist das Übel, wenn nicht noch an anderer Stelle etwas begraben liegt.
Was muss ich

um das wieder grade zu biegen. Ich habe auch was von fixen gelesen, äh kenne ich vom hörensagen, hat aber hier wohl eine andere Bedeutung

.

Danke

chaosman · 29.09.2004, 07:54

@moppie05

gehe in den abgesicherten modus, schalte den systemwiederherstellung aus, und fixe mit HJT
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.ewebsearch.net/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.****/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\****\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.hand-book.com/search/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {D5E4E6B7-FA61-4A29-B649-2B3471C35A47} - C:\WINDOWS\System32\cce.dll (file missing)
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe
O13 - DefaultPrefix: h**p://ehttp.cc/?
O13 - WWW Prefix: h**p://ehttp.cc/?
O13 - WWW. Prefix: h**p://ehttp.cc/?
wenn du folgende eintrag nicht kennst, dann fixen
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\explorer.cab
das fixen wenn dein IE sehr langsam ist
O19 - User stylesheet: C:\WINDOWS\my.css (file missing)
O19 - User stylesheet: C:\WINDOWS\my.css (file missing) (HKLM)
neustarten, systemwiederherstellung wieder einschalten, neue startseite vergeben.
da du keine systeminfos hast, empfehle ich dir XP auf den neuesten stand zu halten, und eventuell updaten.
schau dir mal den firefox an, www.firefoxbrowser.de , ist sicherer als den IE
chaosman

moppie05 · 30.09.2004, 14:41

hallo noch ein mal,

hat alles

geklappt.
was sich im abgesichertem modus nicht entfernen

lies, habe ich dann im normalbetrieb

über die klippe springen lassen. das lief auch

einwandfrei.

besten dank auch, werde gern wieder kommen - kenne foren wo jeder was anderes zum senf dazu geben will, das hier war

Cidre · 30.09.2004, 16:20

Du hast lediglich die Symptome beseitigt, aber die Ursache ist immer noch vorhanden.

- Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.co...r/default.aspx
- NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/

Für die Zukunft:
http://www.mathematik.uni-marburg.de...ompromise.html

28.09.2004, 18:53	#2
Cidre Administrator, a.D.	Da nervt was ganz arg, Seitenumlenkung ? Hallo, erstelle mit HiJackThis ein Log-File und poste es hier rein. Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen. __________________ __________________

Da nervt was ganz arg, Seitenumlenkung ?

Plagegeister aller Art und deren Bekämpfung: Da nervt was ganz arg, Seitenumlenkung ?