Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Startseite verändert, popups und Seiten öffnen sich willkürlich

Startseite verändert, popups und Seiten öffnen sich willkürlich


Plagegeister aller Art und deren Bekämpfung: Startseite verändert, popups und Seiten öffnen sich willkürlich

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 07.11.2004, 21:35   #1
Alexander Weber
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


Hallo - ich hoffe, Ihr könnt mir weiterhelfen ! ! !

Ich habe folgende Probleme:

1. Egal, welche Startseite ich festlege, wenn ich den explorer öffne, bekomme ich immer diese Seite: res://ujcfq.dll/index.html#37049
(= Suchmaschine)

2. Lästige popups öffnen sich. Diese popups passen thematisch zu den Seiten, die ich vorher besucht habe.

3. Wenn ich einen Begriff über google suche, öffnen sich 10 Fenster ein und derselben Suchmaschine: http://search-to-find.com/sec.php?

4. Wenn ich auf einen link klicke dauert es manchmal bis zu 20 Sekunden, dass der Rechner überhaupt wieder reagiert.

Wie werde ich diese lästigen Geister los?? Habe Windows ME, Norton ist installiert.

Danke und Grüße
AW
Geändert von Alexander Weber (07.11.2004 um 22:20 Uhr)

Alt 07.11.2004, 21:39   #2
Haui45
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


Bitte poste ein HijackThis Logfile mittels copy&paste ins Forum.
und editiere bitte die URL
__________________
Alt 09.11.2004, 22:59   #3
Alexander Weber
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


wenn ich das logfile abspeichern will hängt er sich auf...! (strg+alt+entf: "hijackthis reagiert nicht")

ein screen-shot kann ich hier leider nicht einfügen - welche möglichkeit gibt es noch?
__________________
Geändert von Alexander Weber (09.11.2004 um 23:10 Uhr)

Alt 10.11.2004, 09:37   #4
chaosman
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


@Alexander Weber
versuche es mit umbenennung von .exe in .com
http://www.trojaner-board.de/51130-a...ijackthis.html
oder versuche HJT von diskette aus zu starten.
mit den taskmanager soviel wie mögliche prozesse im hintergrund ausschalten

chaosman
__________________
Bonus vir semper tiro

Alt 11.11.2004, 22:51   #5
Alexander Weber
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


COOL ! ! Danke, hat geklappt! Hier also das logfile:
Was sind die weiteren Schritte, was von diesem Zeug könnte der Grund für die Probleme sein? Was muss ich tun?


Logfile of HijackThis v1.98.2
Scan saved at 00:29:22, on 01.01.1999
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY PROFESSIONAL\NISUM.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY PROFESSIONAL\CCPXYSVC.EXE
C:\WINDOWS\SYSTEM\SYSQA32.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\WINDOWS\ADDRF.EXE
C:\PROGRAMME\PESTPATROL\PPCONTROL.EXE
C:\PROGRAMME\PESTPATROL\PPMEMCHECK.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS1982\HIJACKTHIS.COM

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ujcfq.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ujcfq.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ujcfq.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=www.gmx.net:995
R3 - Default URLSearchHook is missing
F1 - win.ini: run=msinfo.exe hpfsched
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\WINWT\WINWT32.DLL (file missing)
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\MSOPT.DLL (file missing)
O2 - BHO: Class - {2341B6B9-E486-B1AF-52DC-D05B8550CE4F} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {710089CF-87C3-763F-C8F6-5A0DBFD3AEC3} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Class - {3DCC458B-438F-32FB-84B2-16C97B9F6A8F} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {4D6F9883-B101-08BE-86B0-A211D0FFA737} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {349E229D-5150-15CE-ECE3-0E88A2657677} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {02DA6D45-8742-2D45-C988-F4B369CF47DF} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {F4B4BCBB-249B-A15C-B77A-FA5431606600} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {B92C210C-1538-F49B-BED9-4D03BE1261CC} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {401DD4FB-9DB2-E059-2FBB-F86B9CF00285} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {0DE4565E-0E43-16BE-9904-7881A76853DE} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {5F54EEA2-3EC1-1710-F455-1257E2CC6910} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {6B4D594C-CC43-C4F5-DF5E-3537D914AD26} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {10D78D57-F705-0177-96E9-A96E87A18EC0} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {F05AEE59-1D1C-D18A-A8AF-CA446E213233} - C:\WINDOWS\IPHW32.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ADDRF.EXE] C:\WINDOWS\ADDRF.EXE
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [SYSQA32.EXE] C:\WINDOWS\SYSTEM\SYSQA32.EXE
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [Nisum] C:\Programme\Norton Internet Security Professional\NISUM.EXE
O4 - HKLM\..\RunServices: [ccPxySvc] C:\PROGRA~1\NORTON~2\CCPXYSVC.EXE
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: PPControl.exe.lnk = C:\Programme\PestPatrol\PPControl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab
O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://www.alfaromeo.de/obs/include/...se/Outside.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.alfaromeo.de/obs/include/...e/MSSurVid.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing)


Alt 11.11.2004, 23:28   #6
chaosman
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


@Alexander Weber
lade escan und clearprog http://www.mwti.net/antivirus/free_utilities.asp
www.clearprog.de
escan updaten, aber noch nicht starten
diese dateien C:\WINDOWS\SYSTEM\SYSQA32.EXE
C:\WINDOWS\ADDRF.EXE
hier
überprüfen lassen

wechsle in den abgesicherten modus, und fixe(häkchen setzen und Fix Checked klicken)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ujcfq.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ujcfq.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system\ujcfq.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ujcfq.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.runsearch.com/search.html
R3 - Default URLSearchHook is missing
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\WINWT\WINWT32.DLL (file missing)
O2 - BHO: ICOO Loader BHO - {B9D90B27-AD4A-413a-88CB-3E6DDC10DC2D} - C:\WINDOWS\MSOPT.DLL (file missing)
O2 - BHO: Class - {2341B6B9-E486-B1AF-52DC-D05B8550CE4F} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {710089CF-87C3-763F-C8F6-5A0DBFD3AEC3} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {3DCC458B-438F-32FB-84B2-16C97B9F6A8F} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {4D6F9883-B101-08BE-86B0-A211D0FFA737} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {349E229D-5150-15CE-ECE3-0E88A2657677} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {02DA6D45-8742-2D45-C988-F4B369CF47DF} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {F4B4BCBB-249B-A15C-B77A-FA5431606600} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {B92C210C-1538-F49B-BED9-4D03BE1261CC} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {401DD4FB-9DB2-E059-2FBB-F86B9CF00285} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {0DE4565E-0E43-16BE-9904-7881A76853DE} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {5F54EEA2-3EC1-1710-F455-1257E2CC6910} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {6B4D594C-CC43-C4F5-DF5E-3537D914AD26} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {10D78D57-F705-0177-96E9-A96E87A18EC0} - C:\WINDOWS\IPHW32.DLL
O2 - BHO: Class - {F05AEE59-1D1C-D18A-A8AF-CA446E213233} - C:\WINDOWS\IPHW32.DLL
O4 - HKLM\..\Run: [ADDRF.EXE] C:\WINDOWS\ADDRF.EXE
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINDOWS\MSOPT.DLL (file missing)
O19 - User stylesheet: C:\WINDOWS\Web\oslogo.bmp (file missing)

lösche manuell folgende dateien
C:\WINDOWS\system\ujcfq.dll
C:\WINDOWS\ANWENDUNGSDATEN\WINWT\WINWT32.DLL
C:\WINDOWS\IPHW32.DLL
lasse danach escan laufen anleitung
neu starten, mache ein neues HJT logfile und poste es
poste die ergebnisse von escan, und die online überprüfungsergebnisse.
escan läuft bis zu 2 stunden
chaosman
__________________
--> Startseite verändert, popups und Seiten öffnen sich willkürlich

Alt 19.11.2004, 22:51   #7
Alexander Weber
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


Hallo,

ich habe eScan installiert. Nach der Installation hat sich das Programm selbst gestartet. Einige Malware wurde gelöscht. Danach habe ich HijackThis gestartet, gescant und einige der Dateien gelöscht, die du mir empfolen hast. ClearProgr habe ic bis jetzt nicht ausgeführt. Hier ist das aktuelle log file von hijackthis: Was kann ich tun?

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\PROGRAMME\ESCAN\TRAYICOS.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\IOMEGA\DRIVEICONS\IMGICON.EXE
C:\WINDOWS\SYSTEM\QTTASK.EXE
C:\PROGRAMME\PESTPATROL\PPCONTROL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\PESTPATROL\PPMEMCHECK.EXE
C:\PROGRAMME\ESCAN\AVPMWRAP.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\ESCAN\MAILDISP.EXE
C:\WINDOWS\SYSTEM\WINOA386.MOD
C:\PROGRAMME\FRITZ!\IWATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\ESCAN\SPOOLER.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\PROGRAMME\ESCAN\AVPM.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\TEMP\TD_0005.DIR\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Iomega Startup Options] C:\Programme\Iomega\Common\ImgStart.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\SYSTEM\QTTASK.EXE
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRAMME\PESTPATROL\PPMemCheck.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\Programme\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [eScan Updater] C:\PROGRA~1\ESCAN\TRAYICOS.EXE
O4 - HKLM\..\RunServices: [eScan Monitor] C:\PROGRA~1\ESCAN\AVPMWrap.EXE /service
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - HKCU\..\Run: [MSMSGS] C:\PROGRA~1\MESSEN~1\msmsgs.exe /background
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Startup: PPControl.exe.lnk = C:\Programme\PestPatrol\PPControl.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O12 - Plugin for .pdf: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {2FF18E10-DE11-11D1-8161-00A0C90DD90C} (MSNBC News Menu Control 3.0) - http://www.zdf.msnbc.de/tools/NewsBrowser/nm0713.cab
O16 - DPF: {BB47CA33-8B4D-11D0-9511-00C04FD9152D} (ExteriorSurround Object) - http://www.alfaromeo.de/obs/include/...se/Outside.cab
O16 - DPF: {928626A3-6B98-11CF-90B4-00AA00A4011F} (SurroundVideoCtrl Object) - http://www.alfaromeo.de/obs/include/...e/MSSurVid.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.120.252,192.168.120.253

Alt 19.11.2004, 22:54   #8
Lidius
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


Öffne die mwav.log (im verzeichnis c:\bases) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen

Alt 21.11.2004, 18:29   #9
Alexander Weber
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


Startseite hab ich unter Kontrolle, popups und Seiten öffnen sich auch nicht mehr willkürlich. DANKE FÜR EURE HILFE!!!

Jedoch:
- Seit eScan gelaufen und installiert ist, sagt Norton:
"Auto Protect aus", "Emailprüfung Fehler" und Internet-Security "Sicherheit aus".
- Geschützte Seiten, für die ich ein passwort brauche, heißt es "Server nicht gefunden" oder die Seiten öffnen sich einfach nicht mehr. Ich kann auf diese Seiten also gar nicht mehr zugreifen.
- mwav.log lässt sich nicht öffnen, da "unbekante Anwendung".

Was ist zu tun? Hab ich weitere Trojaner oder ähnliches drauf?

Thanx!

Alt 21.11.2004, 20:50   #10
Shadowdance
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


@ Alexander Weber

was hat die Überprüfung dieser Dateien C:\WINDOWS\SYSTEM\SYSQA32.EXE
C:\WINDOWS\ADDRF.EXE ergeben?

versuche die "mwXface.log" zu öffnen und verfahre nach dem von Lidius beschriebenen System, um uns das Ergebnis des eScan mitzuteilen. Wenn das nicht geht, kopiere die "mwXface.log" oder die "mwav.log" in einen anderen Ordner, benenne die Datei um in "abc.log" (Dateien verschieben und Dateien umbenennen) und teile uns das Ergebnis des eScan mit.

SD

Alt 25.11.2004, 22:51   #11
Frogga
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


Ich habe das gleiche Problem - wenn ich das Zeug mit Hijack versuche ändert sich nichts...

hier der hijack auszug

Logfile of HijackThis v1.98.0
Scan saved at 22:53:12, on 25.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
E:\Programme\GetRight\getright.exe
E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
E:\Programme\GetRight\getright.exe
C:\WINDOWS\System32\wuauclt.exe
E:\mIRC\mirc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Frogga\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.e-finder.cc/search/ (obfuscated)
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - E:\Programme\GetRight\xx2gr.dll
O2 - BHO: DOMPeek Class - {834261E1-DD97-4177-853B-C907E5D5BD6E} - C:\WINDOWS\dpe.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [svc] rundll32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] D:\Programme\Valve\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [MSMsgSvc] C:\WINDOWS\System\MSMSGSVC.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = E:\Programme\GetRight\getright.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = E:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ZoneAlarm.lnk = E:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
O8 - Extra context menu item: Download with GetRight - E:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Download with Go!Zilla - file://E:\Programme\Go!Zilla\download-with-gozilla.html
O8 - Extra context menu item: Open with GetRight Browser - E:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/ca...C_1_0_0_42.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F7F7CFE3-83BA-4FA9-8E28-6458B742AB86}: NameServer = 195.3.96.67 193.3.96.68



bitte helft mir, vorallem diese Popups sind so nervig...

Alt 27.11.2004, 17:56   #12
Shadowdance
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


Hallo Frogga,

ich fange mal hier an. Falls Du noch kein weiteres Hijack This Logfile gepostet haben solltest, diese Version ist veraltet: HijackThis v1.98.0. Bitte erstelle ein neues, aktuelles Hijack This Logfile Version v1.98.2 und poste es mittels copy&paste: http://www.trojaner-board.de/51130-a...ijackthis.html. Für die Übersichtlichkeit wäre es auch anzuraten, einen neuen Thread zu eröffnen ... falls Du dies bereits getan haben solltest, nichts für ungut, ich hatte keine Zeit zum mitlesen.

SD

Alt 12.12.2004, 14:02   #13
Alexander Weber
 
Startseite verändert, popups und Seiten öffnen sich willkürlich - Standard

Startseite verändert, popups und Seiten öffnen sich willkürlich


Hallo, bin leider nicht weitergekommen.....

Wie gesagt, mein Hauptproblem, das ich lösen möchte ist, dass ich wieder auf Internetseiten zugreifen kann, die passwortgeschützt sind. Diese Seiten öffnen sich noch nicht einmal. (siehe 21.11.)

--> SD: "versuche die "mwXface.log" zu öffnen"
AW:geht nicht, da windows diese Datei nicht erkennt. es erscheint "öffnen mit..." und dann die auswahl aller programme auf meinem rechner. wie kann ich die datei öffnen?

--> SD: "kopiere die "mwXface.log" oder die "mwav.log" in einen anderen Ordner, benenne die Datei um in "abc.log"
AW: geht auch nicht, gleiches problem. Er erkennt log-Dateien nicht.

--> Lidius: "Öffne die mwav.log (im verzeichnis c:\bases) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen"
AW: Meinst Du "Nach Dateien und Ordnern Suchen" über START? Der Ordner "infected" wurde gefunden, ist aber leer. Was ist mit "weitersuchen" gemeint? Wo kann ich Treffer markieren?


Danke für Eure Unterstützung ! ! !

AW

Antwort

Themen zu Startseite verändert, popups und Seiten öffnen sich willkürlich
besuch, besucht, explorer, fenster, folge, folgende, google, klicke, link, norton, popups, probleme, rechner, seite, seiten, seiten öffnen sich, sekunden, startseite, suche, suchmaschine, thema, verändert, weiterhelfen, windows, überhaupt, öffnen


« Schädlinge downloaden strafbar? | Desktop spinnt, Trojaner, Dialer... »


Ähnliche Themen: Startseite verändert, popups und Seiten öffnen sich willkürlich


  1. Popups und neue Seiten öffnen sich seit ein paar Tagen, sobald ich in chrome arbeite.
    Plagegeister aller Art und deren Bekämpfung - 25.02.2015 (20)
  2. Windows 7: neuer Computer, ungewollte Programme, im Fließtext Tabs mit Popups, Seiten, die sich ungewollt öffnen
    Log-Analyse und Auswertung - 18.06.2014 (39)
  3. Startseite verändert, falsche Seiten öffnen sich 22find...
    Log-Analyse und Auswertung - 24.04.2014 (5)
  4. [Google Chrome]Neue Seiten öffnen sich automatisch ( Werbung ) zufällige wörter jeder Internet seiten sind mit URL's verseht
    Plagegeister aller Art und deren Bekämpfung - 01.04.2014 (5)
  5. Windows 7: Wörter verlinkt und Tabs, die sich willkürlich öffnen
    Log-Analyse und Auswertung - 27.02.2014 (12)
  6. Windows 7 - Beim Öffnen von Websites öffnen sich Popups und Tabs mit Werbung
    Log-Analyse und Auswertung - 27.01.2014 (3)
  7. Windows 7: FBDownloaderSearch macht sich zur Startseite im Browser, popup-Fenster öffnen sich
    Log-Analyse und Auswertung - 17.12.2013 (9)
  8. IE Werbefenster öffnen sich willkürlich
    Log-Analyse und Auswertung - 13.04.2012 (39)
  9. Links führen auf falsche Seiten/Seiten öffnen sich automat. / HJT-Logfileseite nicht mehr nutzbar
    Plagegeister aller Art und deren Bekämpfung - 19.08.2010 (8)
  10. Google leitet auf andere Seiten um, Seiten wollen sich ungefragt öffnen. Gelöst(?) Sicher?
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (8)
  11. IE Startseite verändert sich; Fehlermeldung: Exeption Processing Message c...
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (11)
  12. popups öffnen sich ab und an.
    Log-Analyse und Auswertung - 12.11.2009 (1)
  13. Popups öffnen sich grundlos
    Log-Analyse und Auswertung - 09.06.2009 (1)
  14. CID-Popups öffnen sich ständig!
    Log-Analyse und Auswertung - 07.01.2008 (15)
  15. Startseite hat sich plötzlich verändert
    Log-Analyse und Auswertung - 01.10.2006 (6)
  16. Hilfe ... Startseite verändert und lässt sich nicht mehr rückgängig machen!!!
    Log-Analyse und Auswertung - 10.10.2005 (14)
  17. HiJackThis Log von Chiara (Startseite verändert sich)
    Log-Analyse und Auswertung - 02.09.2004 (7)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Startseite verändert, popups und Seiten öffnen sich willkürlich - Hallo - ich hoffe, Ihr könnt mir weiterhelfen ! ! ! Ich habe folgende Probleme: 1. Egal, welche Startseite ich festlege, wenn ich den explorer öffne, bekomme ich immer diese - Startseite verändert, popups und Seiten öffnen sich willkürlich...
Archiv
Du betrachtest: Startseite verändert, popups und Seiten öffnen sich willkürlich auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130