Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   startseite lässt sich nicht mehr ändern :( (https://www.trojaner-board.de/18544-startseite-laesst-mehr-aendern.html)

nick1337 02.06.2005 23:44
startseite lässt sich nicht mehr ändern :(
 
Hiho,

grad XP installiert mit allen notwendingen Programmen, schnell noch einen
Wallpaper suchen wollen über Google, und beim ersten Link direkt Firewall
Alarm, tausend popups und die Startseite steht in den optionen immer auf
default.home, in der Adressleiste about:blank und dann irgendne Trojanersite
oder sowas.

Bin auf das Board dann über google gestoßen und überall war die Rede von einem Hijacker Programm....also dann hier mal der log:

Logfile of HijackThis v1.99.1
Scan saved at 00:36:51, on 03.06.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\Tmntsrv32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\System32\SMSSU.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\-w3sp-\LOKALE~1\Temp\Rar$EX00.232\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE
O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe



Was muss ich nun in welcher Reihenfolge machen um den Müll wieder sicher
loszuwerden (ohne formatieren ^^)...habe schon ein paar mal versucht die
Dateien zu löschen aber die sind immer wieder aufgetaucht.


Danke im vorraus!

cronos 03.06.2005 00:09
Wo ist SP2? Du bist total ungepatched ins Internet gegangen!

Kein Wunder, dass du Probleme hast, deswegen :

Weil du gerade neu XP installiert hast und jetzt schon Probleme hast, rate ich dir dazu die ganze Kiste erneut zu formatieren und alle Partitionen zu löschen, da dein Vorhaben einen sicheren PC zu haben schon im Ansatz versaut ist.

Sicher dein System vor der ersten Internetverbindung vernünftig ab:

http://www.trojaner-board.de/showthread.php?t=12154

Beachte Cidres 12 Punkte Plan!

Wenn wir ein System einrichten, dann doch von Anfang an sicher,oder nicht?

dartus 03.06.2005 00:12
Hallo nick1337,
update Dein System so schnell als möglich mit SP 2!
Download oder CD bestellen (Lieferzeit ca. eine Woche).

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf Fix checked klicken):

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default.home
O2 - BHO: XMLDP Class - {60371670-81B9-4d06-9C42-4DEC1AABE62B} - C:\WINDOWS\xmllib.dll
O4 - HKCU\..\Run: [SMSSU] C:\WINDOWS\System32\SMSSU.EXE
O4 - HKCU\..\Run: [Tmntsrv32] C:\WINDOWS\System32\Tmntsrv32.EXE

Hier weitere Infos:
http://www.greatis.com/appdata/d/t/t...xe_Removal.htm

Lösche folgende Dateien.
C:\WINDOWS\xmllib.dll
C:\WINDOWS\System32\SMSSU.EXE
C:\WINDOWS\System32\Tmntsrv32.EXE
und die in dem Link (wenn vorhanden)

Papierkorb leeren

Neustart --> Systemwiederherstellung kann wieder aktiviert werden

Neues Logfile und berichten

Benutze zum Surfen zukünftig einen sicheren Browser , desweiteren sind
hier lesenswerte Links, insbesondere die „12 Punkte.

dartus

EDIT: Hi cronos :daumenhoc

cronos 03.06.2005 00:14
@ dartus

nach dem Post ist vor dem Post :blabla: :party:

nick1337 03.06.2005 09:04
Hiho, da sich Windows kurz später nichtmal im abgesicherten Modus starten ließ, hab ich heut morgen neu installiert, firewall drauf + windows updates.

Ich werd später mal firefox oder mozilla probieren...hoffe mal die Bedienung unterscheidet sich nicht zu sehr.

vielen dank für die schnellen antworten! :daumenhoc


nick1337


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:12 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131