|
Plagegeister aller Art und deren Bekämpfung: Startseite ändert selberWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.06.2004, 20:28 | #31 |
Startseite ändert selber Am besten, Du druckst dir das folgende aus!! Wenn Du Dir noch Links anschauen willst/musst, tu das bitte als erstes! Beende den Dienst Network Security, wenn nicht schon bereits geschehen und ändere die Startart auf deaktiviert. Wenn nicht schon geschehen lade Dir eScan herunter (siehe meine Signatur). Starte dann Deinen Rechner neu im abgesicherten Modus -> http://www.trojaner-board.de/63335-w...s-starten.html Lösche folgende Dateien: C:\WINDOWS\sysqs.exe C:\WINDOWS\system32\winel32.exe C:\WINDOWS\jwtkb.dll C:\WINDOWS\addnj32.dll Starte HijackThis, markiere folgende Einträge: </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jwtkb.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://jwtkb.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://jwtkb.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\jwtkb.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://jwtkb.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\jwtkb.dll/sp.html#96676 O2 - BHO: (no name) - {079FC989-AC41-02CB-5596-5A02A41BB70E} - C:\WINDOWS\addnj32.dll O4 - HKLM\..\Run: [winel32.exe] C:\WINDOWS\system32\winel32.exe </font>[/QUOTE]Anschließend klicke auf 'Fix checked' Lass Escan deinen kompletten Rechner scannen. Das sollte es gewesen sein. Starte den Rechner wieder im normalen Modus. Bitte berichte uns anschließend, ob es erfolgreich war und was eScan evtl noch gefunden hat. Viel Erfolg!
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
18.06.2004, 20:32 | #32 |
| Startseite ändert selber Hi,
__________________Bin neu hier im Forum, hab die Diskussion aufmerksam verfolgt, weil mich betriffst auch, ich bekomm den Mist einfach nicht weg!!! Tja ich hoffe das hier ne Lösung gefunden wird, wenn das sie jemand zusammen fast so das man sie Schritt für Schritt machen kann! Also ich hoffe auf ne Lösung weil das nervt echt...! MfG Alex |
18.06.2004, 20:34 | #33 |
| Startseite ändert selber Hallo Lutz
__________________das letzte mal habe ich die .exe Dateien nicht löschen können es kam eine Fehlermeldung, kannst du mir erkäler wie ich diese löschen muss Danke |
18.06.2004, 20:34 | #34 |
Startseite ändert selber Hallo Alex und Willkommen an Board, mach bitte für Deine Frage einen eigenen Thread auf, sonst kommen wir hier heillos durcheinander. Danke!
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
18.06.2004, 20:36 | #35 |
Startseite ändert selber </font><blockquote>Zitat:</font><hr />Original erstellt von lubin: Hallo Lutz das letzte mal habe ich die .exe Dateien nicht löschen können es kam eine Fehlermeldung, kannst du mir erkäler wie ich diese löschen muss Danke </font>[/QUOTE]Wenn Du das im abgesicherten Modus machst (s. oben) dann muss sie sich löschen lassen. Zumal dann, wenn du besagten Dienst beendet und deaktiviert hast und dann im abgesicherten Modus startest.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
18.06.2004, 20:41 | #36 |
Startseite ändert selber Hallo and Welcome on Board Bitte aufmerksam lesen Info HJT Entfernung HJT Anleitung Erste Hilfe bei unbekannten Hijacker Scan im abgesicherten Modus
__________________ --> Startseite ändert selber |
18.06.2004, 20:50 | #37 |
| Startseite ändert selber Hallo! Ich bin Gabor aus Unganr, und ich habe auch diese problem, mit sp.html, was soll ich machen? |
18.06.2004, 21:07 | #38 |
Startseite ändert selber Hallo Gabor und Willkommen an Board, bitte eröffne für Dein Problem einen eigenen Thread und poste dort ein Log von HijackThis. Danke!
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
18.06.2004, 21:21 | #39 |
| Startseite ändert selber Hallo Lutz! Bitte schreib mir step by step, was soll ich machen, ich bin sehr neu hier. Ich haben den log file mit hijackthis, das ist ok. |
18.06.2004, 21:27 | #40 |
Startseite ändert selber Hallo Gabor, mit der Angabe 'ich habe auch diese problem, mit sp.html' kann ich Dir nicht helfen. Um Dir helfen zu können, muss ich das Log von HijackThis sehen. Bitte poste es. Aber eröffne dafür ein neues Thema -> Sonst wird das zu unübersichtlich, wenn alle in diesem einem Thema ihre Logs posten.
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
18.06.2004, 21:37 | #41 |
| Startseite ändert selber Ich habe eine neue Thema "about:blank SearchForTheNet" geöffnet, und dort ist mein log file. Dort können wir uns treffen. Danke schön. |
18.06.2004, 22:07 | #42 |
| Startseite ändert selber http://www.trojaner-board.de/forum/u...c;f=6;t=005614 hab doch die lösung schon gepostet [img]smile.gif[/img] cYa nitro |
19.06.2004, 07:17 | #43 |
| Startseite ändert selber Hallo Lutz hab deine Anweisungen befolgt leider mit wenig erfolg Escan hat ca 20 Dateien gelöscht 3 File C:\WINDOWS\Code\_1-top-0-0-.exe tagged as nto-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken alle 3 mit änlichem Inhalte hat er nicht gelöscht auch die beiden .exe Dateien unter WINDOWS konnte ich nicht löschen, hab diese mal umbenannt, wahrscheinlich haben diese sich dabei bereits neu Installiert beim Neustart kommt immer eine Meldung Installation wird vorbereitet Preparing to install Pleas wait while Windows configures Microsoft protjekt hier die neuste Hijack Logfile of HijackThis v1.97.7 Scan saved at 07:48:08, on 19.06.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Windows\SRVANY.EXE C:\WINDOWS\System32\Ati2evxx.exe C:\Program Files\Compaq\Compaq Management Agents\cpqalert.exe C:\PROGRA~1\Compaq\COMPAQ~1\CPQWEB~1\WebDmi.exe C:\WINDOWS\Cpqdiag\Cpqdfwag.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\NMSSvc.exe C:\OfficeScan NT\ntrtscan.exe C:\OfficeScan NT\tmlisten.exe C:\Program Files\Compaq\Compaq Management Agents\Dmi\Win32\bin\Win32sl.exe C:\OfficeScan NT\ofcdog.exe C:\PROGRA~1\Compaq\COMPAQ~1\cpqdmi.exe C:\WINDOWS\MS\SMS\clicomp\apa\Bin\smsapm32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\addrj32.exe C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE C:\OfficeScan NT\pccntmon.exe C:\Program Files\Palm\HOTSYNC.EXE C:\WINDOWS\system32\ntsd.exe C:\WINDOWS\MS\SMS\CLICOMP\SWDist32\bin\smsmon32.exe C:\WINDOWS\System32\ctfmon.exe \CHSUSRV001\Users$\leuper\My Documents\Daten Erich\Erich\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xwoqr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 O2 - BHO: (no name) - {0E3BEE03-C426-F488-CA26-D938932339AC} - C:\WINDOWS\system32\ntsd.dll O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program Files\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [SMS Application Launcher] C:\WINDOWS\MS\SMS\CORE\BIN\LAUNCH32.EXE O4 - HKLM\..\Run: [ChkAdmin] C:\PROGRA~1\Compaq\COMPAQ~1\CHKADMIN.EXE O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow O4 - HKLM\..\Run: [ntsd.exe] C:\WINDOWS\system32\ntsd.exe O4 - HKLM\..\RunOnce: [addrj32.exe] C:\WINDOWS\addrj32.exe O4 - Startup: HotSync Manager.lnk = C:\Program Files\Palm\HOTSYNC.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: Related (HKLM) O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM) O15 - Trusted Zone: cww.delaval.com O15 - Trusted Zone: http://cww.delaval.com O15 - Trusted Zone: cww.seso.delaval.com O15 - Trusted Zone: http://cww.seso.delaval.com O15 - Trusted Zone: cww.setu.delaval.com O15 - Trusted Zone: http://cww.setu.delaval.com O15 - Trusted Zone: setuagrint32.delaval.com O15 - Trusted Zone: http://setuagrint32.delaval.com O15 - Trusted Zone: setuagrint51.delaval.com O15 - Trusted Zone: setuagrint51.setu.delaval.com O15 - Trusted Zone: setuagrint66.sestu.delaval.com O15 - Trusted Zone: setuagrint66.setu.delaval.com O15 - Trusted Zone: cww.delaval.local O15 - Trusted Zone: intranet.delaval.local O15 - Trusted Zone: http://*.setuagrint32 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = delaval.local O17 - HKLM\Software\..\Telephony: DomainName = delaval.local O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = delaval.local O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = delaval.local |
19.06.2004, 08:20 | #44 |
Startseite ändert selber Komisch, dass das bei Dir nicht klappen will... Versuchen wir es erneut. Dies hier </font><blockquote>Zitat:</font><hr />O4 - HKLM\..\RunOnce: [addrj32.exe] C:\WINDOWS\addrj32.exe</font>[/QUOTE]dürfte wieder der "Network Security Service" sein. Beende und deaktiviere diesen. Wenn der InternetExplorer noch geöffnet ist, leere über Extras -> Internetoptionen -> Allgemein -> Temporäre Internetoptionen -> Dateien löschen -> Alle Offlineinhalte löschen die temporären Dateien. Boote dann im abgesicherten Modus Fixe mit HijackThis diese Einträge </font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xwoqr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xwoqr.dll/index.html#96676 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\xwoqr.dll/sp.html#96676 O2 - BHO: (no name) - {0E3BEE03-C426-F488-CA26-D938932339AC} - C:\WINDOWS\system32\ntsd.dll O4 - HKLM\..\Run: [ntsd.exe] C:\WINDOWS\system32\ntsd.exe O4 - HKLM\..\RunOnce: [addrj32.exe] C:\WINDOWS\addrj32.exe</font>[/QUOTE]Anschließend müssen die folgenden Dateien gelöscht werden: </font><blockquote>Zitat:</font><hr /> C:\WINDOWS\xwoqr.dll C:\WINDOWS\system32\ntsd.dll C:\WINDOWS\system32\ntsd.exe C:\WINDOWS\addrj32.exe</font>[/QUOTE]Alternativ zu eScan kannst Du auch mal AntiVir Deinen Rechner scannen. Nach der Installation von AntiVir dieses zuerst aktualisieren. Wenn das wieder nicht funktioniert, versuche mal die Datei C:\WINDOWS\system32\ntsd.dll mit dem Editor zu öffnen. Wenn das geht, leere den kompletten Inhalt und speichere sie. Danach wählst Du unter den Eigenschaften dieser Datei (Rechtsklick auf die Datei) 'Schreibgeschützt'. Mache das gleiche nach Möglichkeit auch mit der 2. dll (C:\WINDOWS\xwoqr.dll).
__________________ Gruß, Lutz *** "Nur weil ich paranoid bin, bedeutet das nicht, dass sie nicht hinter mir her sind!" (Matthias Deutschmann) |
19.06.2004, 20:27 | #45 |
| Startseite ändert selber Hallo Lutz mal besten Dank für deine Hilfe ich glaube es hat jetzt geklappt, die letzten 2 Starts machten keine Probleme mehr ich hoffe es hält C:\WINDOWS\system32\ntsd.exe habe ich x-mal gelöscht ist immer wieder aufgetaucht zusätzliche habe ich noch andere Dateien gelöscht die mir verdächtig waren schöne Grüsse Lubin ich hoffe das Board wird weiter von Leuten mit Können betreut, Danke an alle die mir geholfen haben |
Themen zu Startseite ändert selber |
.inf, acrobat, adobe, application, bho, button, check, excel, ftp, gelöscht, helfen, hijack, hotkey, ics, internet, internet explorer, launch, links, löschen, messenger, microsoft, monitor, nicht, officescan, seite, software, system, system32, tcpip, update, win32, windows |