Hallo Leute,

bin ein ziemliches Greenhorn auf dem Gebiet. SEARCHPORTAL.com trägt sich autom. als startseite sein. habe schon versch. versucht, in der registry files gelöscht,......spätestens nach dem neustart erscheint SEARCHPORTAL.com wieder als startseite. habe verschiedene antivirusprogramme, spyfinder, regcleaner drüberlaufen lassen, alles kein wirklicher erfolg.
Hier mein logfile:

Logfile of HijackThis v1.98.2
Scan saved at 20:50:02, on 19.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\INETSRV\SERVICES.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\A4TECH\MOUSE\AMOUMAIN.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
D:\PROGRAMME\ZONEALARM\INSTALLATION\ZLCLIENT.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\A2PERSONAL ANTIVIRUS\A2\A2GUARD.EXE
C:\PROGRAMME\A2PERSONAL ANTIVIRUS\A2\A2START.EXE
C:\PROGRAMME\A2PERSONAL ANTIVIRUS\A2\A2SCAN.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\HIGHJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchportal.info/10022/
F1 - win.ini: run=C:\WINDOWS\INETSRV\SERVICES.EXE
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zonealarm\Installation\zlclient.exe"
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INETSRV\SERVICES.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INETSRV\SERVICES.EXE
O4 - HKCU\..\Run: [a²] "C:\Programme\A2personal Antivirus\a2\a2guard.exe"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://216.65.38.226/crack.CAB
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

Besten Dank

sorry, die startseite lautet: http://www.searchportal.info/10022/

Hallo.

Guck mal hier zum Thema Browser-Hijacking.

Geh vielleicht auch mal auf diese Seite hier, da hast du links zu online-Virenscans verschiedener Hersteller. Hat mir schon geholfen, etwas zu entfernen.

Benutzt Du einen Virenscanner mit Virenwächter (also ein Hintergrundprozess, der dein System überwacht)? Hier gibt es welche, Antivir ist wohl das beste kostenlose Prog. In jedem Fall Virenscanner regelmäßig updaten!!!

Zu deinem Log:

Starte Windows im abgesicherten Modus (Neustart, F8 drücken, bevor Windows-Logo erscheint).

Fixe folgende Einträge:

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\INETSRV\SERVICES.EXE

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INETSRV\SERVICES.EXE

O16 - DPF: {F5192746-22D6-41BD-9D2D-1E75D14FBD3C} (ddm_download.ddm_control) - http://216.65.38.226/crack.CAB

Schau dir folgende Einträge mal an und fixe sie, wenn Du das Programm/ die Website nicht kennst:

C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.searchportal.info/10022/

Fixe folgenden Eintrag, er ist unvollständig:

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

HAllo Wattewuschel,

Danke fürs erste,

wie gesagt bin ich ein totales greenhorn,...was heist fix/fixen????

benutze nortonantivirus 2004.

Das Creativfile hängt mit meinem soundsystem zusammen, is daher denk ich in ordnung.

Ergänzung zu wattewuschel:

Wechsle in den abgesicherten Modus http://www.trojaner-board.de/63335-w...s-starten.html und fixe noch diesen Eintrag:
F1 - win.ini: run=C:\WINDOWS\INETSRV\SERVICES.EXE

Lösche diese Datei:
C:\WINDOWS\INETSRV\SERVICES.EXE

eScan AntiVirus wie beschrieben anwenden

Danach
- Neustart
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

EDIT:
Fixen heisst:
Einen Haken setzen vor den genannten Einträgen und auf Fix Checked klicken

Fixen bedeutet vor den betreffenden Zeilen in HijackThis ein Häkchen zu machen und dann auf Fix Checked zu klicken

Ist :\WINDOWS\INETSRV\SERVICES.EXE

nicht eine Systemdatei???????????

Zitat:

Zitat von Standardianer

Ist :\WINDOWS\INETSRV\SERVICES.EXE

nicht eine Systemdatei???????????

Wenn sie unter C:\Windows\System32\ wäre, dann wäre es eine Systemdatei

Das ist ja grade der Trick vieler Malware, sich so zu nennen wie Systemdateien und damit den User zu verunsichern (und natürlich um dadurch weniger aufzufallen)

Sie ist keine Systemdatei, auch nicht wenn sich diese Malware hier befinden würde:

Zitat:

Wenn sie unter C:\Windows\System32\ wäre, dann wäre es eine Systemdatei.

Diese Datei ist die Malware Troj/Small-AQ http://www.sophos.de/virusinfo/analy...ojsmallaq.html !

HAllo,

hab im großen und ganzen alles durchgeführt.

Hier das aktuelle log file:

Logfile of HijackThis v1.98.2
Scan saved at 22:06:52, on 19.10.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\CTNOTIFY.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\A4TECH\MOUSE\AMOUMAIN.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
D:\PROGRAMME\ZONEALARM\INSTALLATION\ZLCLIENT.EXE
C:\PROGRAMME\A2PERSONAL ANTIVIRUS\A2\A2GUARD.EXE
C:\PROGRAMME\CREATIVE\SHAREDLL\MEDIADET.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\OUTLOOK EXPRESS\MSIMN.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\HIGHJACK THIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4TECH\MOUSE\AMOUMAIN.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zonealarm\Installation\zlclient.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\INETSRV\SERVICES.EXE
O4 - HKCU\..\Run: [a²] "C:\Programme\A2personal Antivirus\a2\a2guard.exe"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O12 - Plugin for .mpg: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin3.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

eScan hat 2 inf. dateien gefunden.

Besten Dank für Eure Antworten

Und die virus LOg Information von eScan, bzw. nur die (so denke ich) wichtigen Auszüge,
kann anscheinend das ganze file nicht posten....ev. zu groß?!




Tue Oct 19 21:50:11 2004 => File C:\WINDOWS\preuninst.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Oct 19 21:50:20 2004 => File C:\WINDOWS\s.exe infected by "TrojanClicker.Win32.Small.bb" Virus. Action Taken: No Action Taken.


Besten Dank für Eure Antworten

Das Log-File ist offensichtlich sauber, aber wenn du meine zwei weiteren Empfehlungen nicht umsetzt, dann ist es eine Frage der Zeit bist du wieder die gleiche oder noch schlimmere Malware selbst installierst.

Du meinst wegen dem neuen Browser oder??

was verwendest du?? kennst du opera??

noch eine frage zum escan file:

wie gesagt wurden 2 inf. files gefunden,
programm hat vorgeschlagen den cleaner zu kaufen.
Ist das aus deiner sicht erforderlich, haben diese files etwas mit meinem virus zu tun??

Zitat:

Du meinst wegen dem neuen Browser oder??

Ja.

Zitat:

was verwendest du?? kennst du opera??

Ich benutze Firefox. Du kannst natürlich auch Opera benutzen.

Du brauchst eScan nicht zu kaufen, lösche diese Datei einfach manuell:
C:\WINDOWS\s.exe

vielen Dank für deine hilfe, echt super.
bis jetzt läuft alles normal.

grüße