Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Startseite lsst sich nicht entfernen !!! (https://www.trojaner-board.de/16365-startseite-laesst-entfernen.html)

mbx600 07.04.2005 18:22

Startseite lsst sich nicht entfernen !!!
 
Hallo zusammen, habe seit gestern unfreiwillig eine neue Startseite und neue Favoriten, die sich nicht mehr entfernen lassen!!!

Habe Spybot - Search&Destroy ausgefhrt, SpywareBlaster und Hijack Fix, jedoch erscheint die neue Startseite (http://searchforfree.info/) und die Favoriten immer wieder nach dem Neustart.

Hier mein hijackthis.log, knnt Ihr mir bitte sagen, was ich fixen kann!!

Logfile of HijackThis v1.99.1
Scan saved at 19:05:16, on 07.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\StartPatrol\StartPatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Tweak-XP Pro\AdBlocker.exe
C:\Programme\Tweak-XP Pro\popup.exe
C:\Programme\Tweak-XP Pro\transtask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://searchforfree.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchforfree.info/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://searchforfree.info/browser/
F3 - REG:win.ini: run=C:\WINDOWS\htmlsync.exe
O1 - Hosts: {~?#.|}M^-nܮ'ooYƍ9MӍd{rw_xKy/WŖ1YK"<';|Zoݵ~'ik9;&ob0qߚ>7$l'̓یl3r:V^z[zk3?w1~4"+x8۷n89zG',zG_OerymwYu}_߇V{j{,cn}`_KM\:gz=4c =G?m-6gq~sAiw?j(ʹ~|Ǘl|=F1@O_^"(œ?*gS?=-?s~'53G?%?<Ϳ÷>q* =Zs~!a ~ 7x~&_{#kߴHf6^VXZ1URKK4馚n _?"6sm[<Q!3TG?*9<og*9<q/J)I׷ހJ軳1޹*9mWA4ewj*zO|G4`r6ܴ@EsneW$ )Cj/K'tot:Z5wj'`[ڮ6a;6ߚy5EÏu/w@Oo]'N9+4|-,[*K^}ÿ
O1 - Hosts: oi(v[ݏj:mfJ<ت5T$\M5fj-4I;8ߡJ{*?Ŧ>oOh*/j$/OK?CEH(Ab `IFPqIjOEg5oy^KٮΙhMs+;8<?a4<
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [StartPatrol Run] "C:\Programme\StartPatrol\StartPatrol.exe"
O4 - HKLM\..\Run: [isystem] C:\WINDOWS\System32\isystem.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro\AdBlocker.exe"
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro\popup.exe"
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro\transtask.exe"
O4 - HKCU\..\Run: [ldriver] C:\WINDOWS\System32\ldriver.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu untersttzen - {1265B9D7-052E-44C2-9A30-A3FA9DAC4CFC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Untersttzung fr xp-AntiSpy - {1265B9D7-052E-44C2-9A30-A3FA9DAC4CFC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112382919774
O21 - SSODL: wuQQwQEOpnI - {1467B824-BECD-128E-B59D-558853C9DEE4} - C:\WINDOWS\System32\asps.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Vielen Dank fr Eure Hilfe.

Gru
Micha

Rene-gad 07.04.2005 18:33

@mbx600
Zitat:

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Es fehlt WinXP SP2
Du musst umgehend entweder eine CD-ROM Bestellen oder SP 2 Direkt von Microsoft Homepage downloaden
Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = hmmp://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hmmp://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hmmp://searchforfree.info/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hmmp://searchforfree.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hmmp://searchforfree.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hmmp://searchforfree.info/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hmmp://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hmmp://searchforfree.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hmmp://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hmmp://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = hmmp://searchforfree.info/browser/
F3 - REG:win.ini: run=C:\WINDOWS\htmlsync.exe
O1 - Hosts: {~?#.|(VERKRZT VON RENE-GAD) ٮΙhMs+;8<?a4<
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O4 - HKCU\..\Run: [ldriver] C:\WINDOWS\System32\ldriver.exe
Das bitte fixen.
Zitat:

C:\WINDOWS\htmlsync.exe
C:\WINDOWS\System32\ldriver.exe
Prozesse ber Task-manger beenden, Dateien lschen.
Danach bitte:
1. Systemwiederherstellung abschalten http://www.systemwiederherstellung-d...indows-xp.html
2. Temporary Internet Files -Ordner leeren:
Start/Einstellungen/Systemsteuerung/Internetoptionen/Dateien lschen/Alle Offlineinhalte lschen...
3. Papierkorb leeren.
4. eScan nach der Anleitung im abgesicherten Modus laufen lassen: http://www.trojaner-board.de/42731-escan-anleitung.html
Ergebnisse ggf. mit Vireninfos inkl. Pfde hier posten

mbx600 07.04.2005 21:13

Wollte gerade meinen Papierkorb leeren, doch der ist mitlerweile verschwunden!! Finde Ihn auch nicht ber die Suchfunktion. :confused:


Alle o.k. hab ihn wieder

mbx600 08.04.2005 00:05

Habe alles wie beschrieben versucht...hat sich nichts gendert, nach dem Neustart ist alles wieder wie es war.

Was habe ich noch fr Mglichkeiten?

Tkns
Micha

dartus 08.04.2005 00:15

Hallo,

Zitat:

4. eScan nach der Anleitung im abgesicherten Modus laufen lassen: http://www.trojaner-board.de/42731-escan-anleitung.html
Ergebnisse ggf. mit Vireninfos inkl. Pfde hier posten
Mach dies bitte noch und poste zustzlich ein HJT-Logfile.

dartus

mbx600 08.04.2005 18:14

O.k. kommt.

Meine gefundenen Trojander

File C:\WINDOWS\System32\asps.dll infected by "Trojan-Proxy.Win32.Agent.df" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\prntsvra.dll infected by "Backdoor.Win32.Dumador.az" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winldra.exe infected by "Trojan-Dropper.Win32.Small.wa" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\winldra.exe infected by "Trojan-Dropper.Win32.Small.wa" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\prntsvra.dll infected by "Backdoor.Win32.Dumador.az" Virus. Action Taken: No Action Taken.


:headbang:
und ein neuer HJT-Log

Logfile of HijackThis v1.99.1
Scan saved at 19:07:54, on 08.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\StartPatrol\StartPatrol.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tweak-XP Pro\AdBlocker.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Tweak-XP Pro\popup.exe
C:\Programme\Tweak-XP Pro\transtask.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
F:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchforfree.info/browser/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://searchforfree.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchforfree.info/browser/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://searchforfree.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchforfree.info/browser/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://searchforfree.info/browser/
F3 - REG:win.ini: run=C:\WINDOWS\htmlsync.exe
O1 - Hosts: {~?#.|}M^-nܮ'ooYƍ9MӍd{rw_xKy/WŖ1YK"<';|Zoݵ~'ik9;&ob0qߚ>7$l'̓یl3r:V^z[zk3?w1~4"+x8۷n89zG',zG_OerymwYu}_߇V{j{,cn}`_KM\:gz=4c =G?m-6gq~sAiw?j(ʹ~|Ǘl|=F1@O_^"(œ?*gS?=-?s~'53G?%?<Ϳ÷>q =Zs~!a ~ 7x~&_{#kߴHf6^VXZ1URKK4馚n _?"6sm[<Q!3TG? 9<og 9<q/J)I׷ހJ軳1޹ 9mWA4ewj zO|G4`r6ܴ@EsneW$ )Cj/K'tot:Z5wj'`[ڮ6a;6ߚy5EÏu/w@Oo]'N9+4|-,[ K^}ÿ
O1 - Hosts: oi(v[ݏj:mfJ<ت5T$\M5fj-4I;8ߡJ{*?Ŧ>oOh*/j$/OK?CEH(Ab `IFPqIjOEg5oy^KٮΙhMs+;8<?a4<
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [StartPatrol Run] "C:\Programme\StartPatrol\StartPatrol.exe"
O4 - HKLM\..\Run: [isystem] C:\WINDOWS\system32\isystem.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro\AdBlocker.exe"
O4 - HKCU\..\Run: [Pop-Up-Blocker] "C:\Programme\Tweak-XP Pro\popup.exe"
O4 - HKCU\..\Run: [TransTask] "C:\Programme\Tweak-XP Pro\transtask.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ldriver] C:\WINDOWS\system32\ldriver.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu untersttzen - {1265B9D7-052E-44C2-9A30-A3FA9DAC4CFC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Untersttzung fr xp-AntiSpy - {1265B9D7-052E-44C2-9A30-A3FA9DAC4CFC} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112382919774
O21 - SSODL: wuQQwQEOpnI - {1467B824-BECD-128E-B59D-558853C9DEE4} - C:\WINDOWS\System32\asps.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe


Danke und Gru

Micha

Rene-gad 08.04.2005 18:42

@mbx600
Das Posten von HJT-Log knntest du dir sparen.
Zitat:

File C:\WINDOWS\prntsvra.dll infected by "Backdoor.Win32.Dumador.az" Virus. Action Taken: No Action Taken.
Vorgehensweise bei einem Backdoor:
1.PC vom Internet trennen
2.Neu aufsetzten inkl alle Patches und Updates: Anleitung
3 Vernnftig absichern:Info
4.Alle Passwrter wechseln.
Noch Details:
Ich habe Virus...
10 Immutable Laws...

mbx600 09.04.2005 00:54

:daumenhoc

Alle wieder O.k.

habt Ihr mir noch eine paar Pers. Favoriten zum Schutz vor Parasiten u..

Danke fr Eure Hilfe

Micha


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131