| |
| |||||||
Log-Analyse und Auswertung: Easy-Search als StartseiteWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
10.11.2004, 17:39
| #1 |
| |  Easy-Search als Startseite Hallo, ich bin verzweifelt und bitte um eure Hilfe !! Seit ein paar Tagen starten der Internet Explorer immer mit der Seite Easy-Search und ich krieg die nimmer weg ! Hier mein logfile Logfile of HijackThis v1.98.2 Scan saved at 17:38:42, on 10.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\NavNT\defwatch.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\cba\pds.exe C:\Programme\NavNT\rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\cba\xfr.exe C:\WINNT\system32\MsgSys.EXE C:\WINNT\Explorer.EXE C:\Programme\FreePDF\FreePDFA.exe C:\Programme\NavNT\vptray.exe C:\Programme\ISTsvc\istsvc.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\vmmon32.exe C:\WINNT\system32\systime.exe C:\WINNT\system32\ifconfig.exe C:\WINNT\system32\ifconfig.exe C:\WINNT\system32\internat.exe C:\Dokumente und Einstellungen\geisinger\Anwendungsdaten\euas.exe C:\WINNT\system32\systime.exe C:\WINNT\system32\l?gonui.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\WINNT\msagent\AgentSvr.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\PROGRA~1\WinZip\winzip32.exe C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php O2 - BHO: (no name) - {5483427F-93B8-1470-5A89-E6B56484CDB2} - C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\msqazquwnot.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe O4 - HKLM\..\Run: [d3ps.exe] C:\WINNT\d3ps.exe O4 - HKLM\..\Run: [lakhdsrdvkuyl] C:\WINNT\system32\rzznalh.exe O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [VMMON32] C:\WINNT\system32\vmmon32.exe O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe O4 - HKLM\..\Run: [ifconfig.exe] C:\WINNT\system32\ifconfig.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing) O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU) O15 - Trusted Zone: *.my-internet.info O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoell.loc O17 - HKLM\System\CCS\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoell.loc O17 - HKLM\System\CS1\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoell.loc O17 - HKLM\System\CS2\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing) |
|
10.11.2004, 17:42
| #2 |
 | Easy-Search als Startseite Hi
__________________Also du mußt das hier fixen und manuell löschen C:\Programme\ISTsvc\istsvc.exe C:\WINNT\system32\systime.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\Programme\Web_Rebates\WebRebates0.exe und das auch fixen R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php O4 - HKLM\..\Run: [sais] c:\programme\180solutions\sais.exe O4 - HKLM\..\Run: [IST Service] C:\Programme\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [SysTime] C:\WINNT\system32\systime.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKCU\..\Run: [SysTime] C:\WINNT\system32\systime.exe O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O15 - Trusted Zone: *.my-internet.info Das ganze im abgesicherten modus bei deaktivirter systemwiderherstellung wenn du gefixt hast mach nen neues log un wieder posten!
__________________ Geändert von ZERO (10.11.2004 um 17:56 Uhr) |
|
11.11.2004, 16:53
| #3 |
| | Easy-Search als Startseite Okay,
__________________hab alles so gemacht wie von dir beschrieben, danke  Die Easy-Search Seite kommt aber leider immer noch  hier also das aktuelle logfile: Logfile of HijackThis v1.98.2 Scan saved at 16:51:33, on 11.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\NavNT\defwatch.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\cba\pds.exe C:\Programme\NavNT\rtvscan.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\cba\xfr.exe C:\WINNT\system32\MsgSys.EXE C:\WINNT\Explorer.EXE C:\Programme\FreePDF\FreePDFA.exe C:\Programme\NavNT\vptray.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINNT\system32\vmmon32.exe C:\WINNT\system32\ifconfig.exe C:\WINNT\system32\internat.exe C:\WINNT\system32\ifconfig.exe C:\Programme\Microsoft Office\Office\EXCEL.EXE C:\Programme\Microsoft Office\Office\OUTLOOK.EXE C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: (no name) - {5483427F-93B8-1470-5A89-E6B56484CDB2} - C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\gppcjsmgrhn.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe O4 - HKLM\..\Run: [d3ps.exe] C:\WINNT\d3ps.exe O4 - HKLM\..\Run: [lakhdsrdvkuyl] C:\WINNT\system32\rzznalh.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Internet Optimizer\optimize.exe" O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [VMMON32] C:\WINNT\system32\vmmon32.exe O4 - HKLM\..\Run: [ifconfig.exe] C:\WINNT\system32\ifconfig.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing) O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoell.loc O17 - HKLM\System\CCS\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoell.loc O17 - HKLM\System\CS1\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoell.loc O17 - HKLM\System\CS2\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201 O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - C:\WINNT\msopt.dll (file missing) |
|
11.11.2004, 17:20
| #4 |
| | Easy-Search als Startseite hi Diese sachen auch noch fixen O9 -Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing) O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) O9 - Extra button: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {4E6D90BD-2C3A-49DA-ABC3-745C5DE529BA} - (no file) (HKCU O2 - BHO: (no name) - {5483427F-93B8-1470-5A89-E6B56484CDB2} - C:\DOKUME~1\GEISIN~1\LOKALE~1\Temp\gppcjsmgrhn.dll Diese dateien bitte einzeln auf Virenscan überprüfen lassen das ergebnis dann bitte posten C:\WINNT\system32\vmmon32.exe C:\WINNT\system32\ifconfig.exe O4 - HKLM\..\Run: [d3ps.exe] C:\WINNT\d3ps.exe O4 - HKLM\..\Run: [lakhdsrdvkuyl] C:\WINNT\system32\rzznalh.exe O4 - HKLM\..\Run: [VMMON32] C:\WINNT\system32\vmmon32.exe O4 - HKLM\..\Run: [ifconfig.exe] C:\WINNT\system32\ifconfig.ex Diese hier sollten auch gefixt werden! Mach aber vorher eine sicherung der Regestry ( start- ausfüren- regedit eingeben dann datei -exportieren dann sicherung 1 nennen und speichern wo du willst ) wenn nach dem fixen dann probleme auftreten einfach doppelklick auf die datei und die regestry ist widerhergestellt! O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hoell.loc O17 - HKLM\System\CCS\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hoell.loc O17 - HKLM\System\CS1\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hoell.loc 17 - HKLM\System\CS2\Services\Tcpip\..\{65E87754-FCE7-4C11-A1A7-3C5276C51076}: NameServer = 194.25.15.11,10.58.8.201 Fixen im abgesicherten modus bei deaktivirter systemwiderherstellung Ach so deinen IE solltest du aktualisieren und dann am besten nicht mehr benutzen sondern zb. mozilla firefox
__________________ MFG ZERO Gelten für Trojaner die Genfer Konventionen? Geändert von ZERO (11.11.2004 um 17:29 Uhr) |
|
| Themen zu Easy-Search als Startseite |
| als startseite, bho, button, einstellungen, explorer, file missing, hijack, hijackthis, hilfe, internet, internet explorer, microsoft, monitor, network, office, programme, seite, software, starten, startseite, system, system32, tcpip, temp, tools, web, windows, zone |
Linear-Darstellung
