IE Startseite "http://69.50.179.61/wow/"

akkimrill · 16.11.2004, 14:41

Moin moin

seit einigen tagen startet der IE immer mit der Startseite "http://69.50.179.61/wow/"
bekomme sie nicht weg.

wer kann helfen?

Hier der Log:

Logfile of HijackThis v1.98.2
Scan saved at 14:31:57, on 16.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\mHotkey.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\PROGRA~1\TRAFFI~2\TRAFFICMONITOR.EXE
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Bases\mwavscan.com
C:\Bases\kavss.exe
C:\hijackthis1982\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.50.179.61/wow/se.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.179.61/wow/se.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.179.61/wow/se.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.179.61/wow/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/wow/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.50.179.61/wow/se.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.179.61/wow/se.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.179.61/wow/se.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.179.61/wow/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = http://69.50.179.61/wow/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.179.61/wow/se.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.50.179.61/wow/se.html
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PSDrvCheck] "C:\Programme\Pinnacle\Instant PhotoAlbum\programs\PSDrvCheck.exe" -CheckReg
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O6 "USB002" /M "Stylus C84"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe
O4 - HKLM\..\Run: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe
O4 - HKLM\..\Run: [TrafficMonitor] C:\PROGRA~1\TRAFFI~2\TRAFFICMONITOR.EXE
O4 - HKLM\..\RunServices: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe
O4 - HKCU\..\Run: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EDA0496-1CEB-4226-8E5C-BF9B31CD2CF1}: NameServer = 194.97.173.124 194.97.173.125

besten dank schon mal

Shadowdance · 16.11.2004, 15:15

@ akkimrill,

zunächst bitte im Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren.

Boote dann in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken):

O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe
O4 - HKLM\..\Run: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe
O4 - HKLM\..\RunServices: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe
O4 - HKCU\..\Run: [Windows OLE Automation Server] C:\WINDOWS\system32\ole32aut.vbe

wenn Du folgende Einträge nicht kennst/brauchst, bitte fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://69.50.179.61/wow/se.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://69.50.179.61/wow/se.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://69.50.179.61/wow/se.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://69.50.179.61/wow/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = h**p://69.50.179.61/wow/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://69.50.179.61/wow/se.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://69.50.179.61/wow/se.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://69.50.179.61/wow/se.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://69.50.179.61/wow/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = h**p://69.50.179.61/wow/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://69.50.179.61/wow/se.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = h**p://69.50.179.61/wow/se.html

boote in den normalen Modus.

beende:
C:\WINDOWS\System32\windows\services.exe

lösche
C:\WINDOWS\System32\windows\services.exe
C:\WINDOWS\system32\ole32aut.vbe
C:\WINDOWS\system32\ole32aut.vbe
C:\WINDOWS\system32\ole32aut.vbe

Aktiviere die Systemwiederherstellung.

Überprüfe mit virusscan.jotti.dhs.org:

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 2.EXE

Ergebnis?

Lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ca 1 Stunde dauert und ab Version 4.5.1 die gefundene Malware nicht löscht. Das wird manuell gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

IE Startseite "http://69.50.179.61/wow/"

Log-Analyse und Auswertung: IE Startseite "http://69.50.179.61/wow/"

IE Startseite "http://69.50.179.61/wow/"

IE Startseite "http://69.50.179.61/wow/"

Ähnliche Themen: IE Startseite "http://69.50.179.61/wow/"