Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Eure Tipps ausprobiert, immer noch Probleme... (https://www.trojaner-board.de/6005-tipps-ausprobiert-immer-noch-probleme.html)

annoyed 29.06.2004 18:57
Hi zusammen,

wie bei den meisten anderen hier startet mein Internet Explorer nur noch auf der "Search the Web"Seite, wenn ich die Standardseite ändere spätestens beim nächsten Neustart des IE. Hab zunächst nach den Emfehlungen anderer Seiten zufolge Ad-Aware, Spybot und CWShredder durchlaufen lassen. Anschließend Hijack This installiert und den Empfehlungen eurer Hijack This Anleitung nach bereits einige Zeilen gefixt. Schließlich habe ich dann den e-scan runtergeladen, im abgesicherten Modus durchlaufen lassen und danach den Hijack This nochmal gestartet. Bin leider sehr, sehr ratlos und würde mich freuen, wenn ihr euch mal meinen letzten Log von anschauen könntet....

Das ist der letzte:

Logfile of HijackThis v1.98.0
Scan saved at 19:57:23, on 29.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Winzip\WZQKPICK.EXE
C:\Programme\EzButton System V2.1\EzButton.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\d3wx.exe
C:\WINDOWS\addot.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Adaware\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ocezi.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ocezi.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ocezi.dll/index.html#22776
R3 - Default URLSearchHook is missing
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {D1B2A675-458A-EE06-C3D2-3986E0634551} - C:\WINDOWS\system32\apphw32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [mwavscan] "C:\Bases\mwavscan.com" /s
O4 - HKLM\..\Run: [addot.exe] C:\WINDOWS\addot.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: EzButton System.lnk = C:\Programme\EzButton System V2.1\EzButton.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\Winzip\WZQKPICK.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{520359F5-0FF6-46B0-9E59-F2F64659F620}: NameServer = 217.237.151.225 194.25.2.129

Die Zeilen mit den Links: "res://ocezi.dll/index.html#22776" etc. hab ich schon ein paar mal gelöscht, erscheinen aber immer wieder.

wär euch unendlich dankbar, wenn ihr mir helfen könntet!! danke schonmal fürs reinschauen...

mfg,
(mittlerweile very) annoyed

Who Cares 29.06.2004 19:11
Hi,

abgesehen von den offensichtlichen R0 & R1-Einträge
stört noch
R3
und diese 2 sind auch noch verdächtig:

O2 - BHO: (no name) - {D1B2A675-458A-EE06-C3D2-3986E0634551} - C:\WINDOWS\system32\apphw32.dll
O4 - HKLM\..\Run: [addot.exe] C:\WINDOWS\addot.exe

*

mal die Dateien mit KAV scannen und ggfs. mit HJT fixen

--> hast du vor dem bereinigen denn auch die Systemwiederherstellung ausgeschaltet !!

- hast du escan auch upgedatet ?
http://www.trojaner-board.de/forum/u...;f=24;t=000001

- probier mal sphjfix:
http://www.trojaner-info.de/anleitun...out_blank.html
;)

*Christian* 29.06.2004 20:09
Im abgesicherten Modus fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://ocezi.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://ocezi.dll/index.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ocezi.dll/sp.html#22776
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://ocezi.dll/index.html#22776
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {D1B2A675-458A-EE06-C3D2-3986E0634551} - C:\WINDOWS\system32\apphw32.dll

[ 29. Juni 2004, 22:16: Beitrag editiert von: *Christian* ]

Lutz 29.06.2004 20:26
F0 - system.ini: Shell= Bitte diesen Eintrag nicht fixen!
Das Log wurde mit der neuen Version von HijackThis erstellt. Die ist um einiges erweitert, da gilt das HijackThis-Tutorial, sowie 'meine' deutsche Übersetzung nur noch bedingt!

Später hierzu mehr....

annoyed 30.06.2004 14:22
danke
 
@ alle drei, die mir geantwortet haben:

Kann nur sagen, vielen Dank, hab nach nochmaligem Scannen und Löschen ein paar weiterer Zeilen in HT endlich das erste mal Ruhe gehabt....hoffe, dass das so bleibt!

An euch drei ein dickes Dankeschön und generell Kompliment für die Seite..... für einen DAU - wie ihr das so nett formuliert ;) - wie mich wirklich eine Riesenhilfe :)

Alles Gute,

happy:aplaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131