![]() |
|
Plagegeister aller Art und deren Bekämpfung: Startseite verändert, popups und Seiten öffnen sich willkürlichWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Startseite verändert, popups und Seiten öffnen sich willkürlich Hallo - ich hoffe, Ihr könnt mir weiterhelfen ! ! ! Ich habe folgende Probleme: 1. Egal, welche Startseite ich festlege, wenn ich den explorer öffne, bekomme ich immer diese Seite: res://ujcfq.dll/index.html#37049 (= Suchmaschine) 2. Lästige popups öffnen sich. Diese popups passen thematisch zu den Seiten, die ich vorher besucht habe. 3. Wenn ich einen Begriff über google suche, öffnen sich 10 Fenster ein und derselben Suchmaschine: http://search-to-find.com/sec.php? 4. Wenn ich auf einen link klicke dauert es manchmal bis zu 20 Sekunden, dass der Rechner überhaupt wieder reagiert. Wie werde ich diese lästigen Geister los?? Habe Windows ME, Norton ist installiert. Danke und Grüße AW Geändert von Alexander Weber (07.11.2004 um 22:20 Uhr) |
![]() | #2 |
![]() ![]() ![]() | ![]() Startseite verändert, popups und Seiten öffnen sich willkürlich Bitte poste ein HijackThis Logfile mittels copy&paste ins Forum.
__________________und editiere bitte die URL |
![]() | #3 |
![]() | ![]() Startseite verändert, popups und Seiten öffnen sich willkürlich wenn ich das logfile abspeichern will hängt er sich auf...! (strg+alt+entf: "hijackthis reagiert nicht")
__________________ein screen-shot kann ich hier leider nicht einfügen - welche möglichkeit gibt es noch? Geändert von Alexander Weber (09.11.2004 um 23:10 Uhr) |
![]() | #4 |
![]() ![]() ![]() | ![]() Startseite verändert, popups und Seiten öffnen sich willkürlich @Alexander Weber versuche es mit umbenennung von .exe in .com http://www.trojaner-board.de/51130-a...ijackthis.html oder versuche HJT von diskette aus zu starten. mit den taskmanager soviel wie mögliche prozesse im hintergrund ausschalten chaosman
__________________ Bonus vir semper tiro |
![]() | #5 |
![]() | ![]() Startseite verändert, popups und Seiten öffnen sich willkürlich COOL ! ! Danke, hat geklappt! Hier also das logfile: Was sind die weiteren Schritte, was von diesem Zeug könnte der Grund für die Probleme sein? Was muss ich tun? Logfile of HijackThis v1.98.2 Scan saved at 00:29:22, on 01.01.1999 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v5.50 (5.50.4134.0100) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE C:\PROGRAMME\NORTON INTERNET SECURITY PROFESSIONAL\NISUM.EXE C:\PROGRAMME\NORTON INTERNET SECURITY PROFESSIONAL\CCPXYSVC.EXE C:\WINDOWS\SYSTEM\SYSQA32.EXE C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE C:\WINDOWS\SYSTEM\QTTASK.EXE C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE C:\WINDOWS\ADDRF.EXE C:\PROGRAMME\PESTPATROL\PPCONTROL.EXE C:\PROGRAMME\PESTPATROL\PPMEMCHECK.EXE C:\WINDOWS\RunDLL.exe C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\FRITZ!\IWATCH.EXE C:\WINDOWS\SYSTEM\PSTORES.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\HIJACKTHIS1982\HIJACKTHIS.COM R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ujcfq.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ujcfq.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ujcfq.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www.gmx.net:995 R3 - Default URLSearchHook is missing F1 - win.ini: run=msinfo.exe hpfsched O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\WINWT\WINWT32.DLL (file missing) O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\MSOPT.DLL (file missing) O2 - BHO: Class - {2341B6B9-E486-B1AF-52DC-D05B8550CE4F} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {710089CF-87C3-763F-C8F6-5A0DBFD3AEC3} - C:\WINDOWS\IPHW32.DLL O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O2 - BHO: Class - {3DCC458B-438F-32FB-84B2-16C97B9F6A8F} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {4D6F9883-B101-08BE-86B0-A211D0FFA737} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {349E229D-5150-15CE-ECE3-0E88A2657677} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {02DA6D45-8742-2D45-C988-F4B369CF47DF} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {F4B4BCBB-249B-A15C-B77A-FA5431606600} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {B92C210C-1538-F49B-BED9-4D03BE1261CC} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {401DD4FB-9DB2-E059-2FBB-F86B9CF00285} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {0DE4565E-0E43-16BE-9904-7881A76853DE} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {5F54EEA2-3EC1-1710-F455-1257E2CC6910} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {6B4D594C-CC43-C4F5-DF5E-3537D914AD26} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {10D78D57-F705-0177-96E9-A96E87A18EC0} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {F05AEE59-1D1C-D18A-A8AF-CA446E213233} - C:\WINDOWS\IPHW32.DLL O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [ADDRF.EXE] C:\WINDOWS\ADDRF.EXE O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PESTPA~1\PPControl.exe O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [SYSQA32.EXE] C:\WINDOWS\SYSTEM\SYSQA32.EXE O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe" O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security Professional\NISUM.EXE O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Startup: PPControl.exe.lnk = C:\Programme\PestPatrol\PPControl.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://www.alfaromeo.de/obs/include/...se/Outside.cab O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.alfaromeo.de/obs/include/...e/MSSurVid.cab O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing) O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing) |
![]() | #6 |
![]() ![]() ![]() | ![]() Startseite verändert, popups und Seiten öffnen sich willkürlich @Alexander Weber lade escan und clearprog http://www.mwti.net/antivirus/free_utilities.asp www.clearprog.de escan updaten, aber noch nicht starten diese dateien C:\WINDOWS\SYSTEM\SYSQA32.EXE C:\WINDOWS\ADDRF.EXE hier überprüfen lassen wechsle in den abgesicherten modus, und fixe(häkchen setzen und Fix Checked klicken) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ujcfq.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ujcfq.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ujcfq.dll/index.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html R3 - Default URLSearchHook is missing O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\WINWT\WINWT32.DLL (file missing) O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\MSOPT.DLL (file missing) O2 - BHO: Class - {2341B6B9-E486-B1AF-52DC-D05B8550CE4F} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {710089CF-87C3-763F-C8F6-5A0DBFD3AEC3} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {3DCC458B-438F-32FB-84B2-16C97B9F6A8F} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {4D6F9883-B101-08BE-86B0-A211D0FFA737} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {349E229D-5150-15CE-ECE3-0E88A2657677} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {02DA6D45-8742-2D45-C988-F4B369CF47DF} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {F4B4BCBB-249B-A15C-B77A-FA5431606600} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {B92C210C-1538-F49B-BED9-4D03BE1261CC} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {401DD4FB-9DB2-E059-2FBB-F86B9CF00285} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {0DE4565E-0E43-16BE-9904-7881A76853DE} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {5F54EEA2-3EC1-1710-F455-1257E2CC6910} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {6B4D594C-CC43-C4F5-DF5E-3537D914AD26} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {10D78D57-F705-0177-96E9-A96E87A18EC0} - C:\WINDOWS\IPHW32.DLL O2 - BHO: Class - {F05AEE59-1D1C-D18A-A8AF-CA446E213233} - C:\WINDOWS\IPHW32.DLL O4 - HKLM\..\Run: [ADDRF.EXE] C:\WINDOWS\ADDRF.EXE O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing) O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing) lösche manuell folgende dateien C:\WINDOWS\system\ujcfq.dll C:\WINDOWS\ANWENDUNGSDATEN\WINWT\WINWT32.DLL C:\WINDOWS\IPHW32.DLL lasse danach escan laufen anleitung neu starten, mache ein neues HJT logfile und poste es poste die ergebnisse von escan, und die online überprüfungsergebnisse. escan läuft bis zu 2 stunden chaosman
__________________ --> Startseite verändert, popups und Seiten öffnen sich willkürlich |
![]() |
Themen zu Startseite verändert, popups und Seiten öffnen sich willkürlich |
besuch, besucht, explorer, fenster, folge, folgende, google, klicke, link, norton, popups, probleme, rechner, seite, seiten, seiten öffnen sich, sekunden, startseite, suche, suchmaschine, thema, verändert, weiterhelfen, windows, überhaupt, öffnen |