Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   IE Startseite ändert sich immer wieder! (https://www.trojaner-board.de/6049-ie-startseite-aendert-immer.html)

O'Neill 18.06.2004 16:35
Hallo,

ich weiß das gabs hier schon oft. Aber das ist viel komplizierter bei mir! Die Startseite ist so was wie ein Suchportal mit einem Pop-Up in dem steht, dass sich auf meinen Rechner Spyware befindet, mit einem Link um die Spyware zu entfernen.

Da ich aber Ad-Aware habe, hab ich das mal durchlaufen lassen und es hat auch 9!!! Registry-Änderungen und eine Datei gefunden. Natürlich hab ich die gleich gelöscht. Dann hab ich zur Sicherheit noch CWShredder (oder wie das heißt) durchlaufen lassen. Hat auch was gefunden und repariert.

Allerdings hielt die Freude nicht lange an. Nach so ca. 5min. war die Startseite wieder dieses Suchportal.
---------------------
HijackThis Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 17:33:30, on 18.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\mein name\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {787BA380-F261-4285-86E5-53F450A63594} - C:\WINDOWS\System32\jbkeec.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O15 - Trusted Zone: http://de.windowsupdate.com
O15 - Trusted Zone: http://*.windowsupdate.com
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...149.6565162037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{732627B6-BC58-4830-AF69-EA6647FEE18E}: NameServer = 62.27.27.62 62.27.53.66

---------------------------

Weis jemand von euch, wie ich das endlich vollständig wegbekomme???

Danke schon mal,

O'Neill

Nangie 18.06.2004 17:51
Hallo and Welcome on Board

Bitte folgendes `durcharbeiten`

HijackThis Anleitung

Hijacker Entfernung

Dieses Hijacking nutzt in allererster Linie bestehende Sicherheitslücken im Internet Explorer von Microsoft
mehr Info

Erste Hilfe bei unbekannten Hijackern
Hier bitte den E-Scan (ganz unten) beachten !

Browserwechsel ist zu empfehlen :
z.B. Firefox

Lutz 18.06.2004 17:58
Hallo O'Neill und Willkommen an Board,

lösche bitte als erstes diese Datei:
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\System32\jbkeec.dll</font>[/QUOTE]Anschließend 'fixe' mit HijackThis folgende Einträge:
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {787BA380-F261-4285-86E5-53F450A63594} - C:\WINDOWS\System32\jbkeec.dll</font>[/QUOTE]Danach musst Du Deine Temp-Ordner leeren (nicht löschen!)
Auf jedenfall muss aber diese Datei gelöscht werden:
</font><blockquote>Zitat:</font><hr />C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html</font>[/QUOTE]Anschließend solltest Du Deinen Rechner noch mit eScan durchsuchen.

Das sollte es gewesen sein...

O'Neill 18.06.2004 20:01
</font><blockquote>Zitat:</font><hr />Original erstellt von Lutz:
Hallo O'Neill und Willkommen an Board,

lösche bitte als erstes diese Datei:
</font><blockquote>Zitat:</font><hr />C:\WINDOWS\System32\jbkeec.dll</font>[/QUOTE]Anschließend 'fixe' mit HijackThis folgende Einträge:
</font><blockquote>Zitat:</font><hr />R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = file://C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {787BA380-F261-4285-86E5-53F450A63594} - C:\WINDOWS\System32\jbkeec.dll</font>[/QUOTE]Danach musst Du Deine Temp-Ordner leeren (nicht löschen!)
Auf jedenfall muss aber diese Datei gelöscht werden:
</font><blockquote>Zitat:</font><hr />C:\DOKUME~1\MARCOS~1\LOKALE~1\Temp\sp.html</font>[/QUOTE]Anschließend solltest Du Deinen Rechner noch mit eScan durchsuchen.

Das sollte es gewesen sein... </font>[/QUOTE]jbkeec.dll lässt sich nicht löschen, Zugriff verweigert!

Lutz 18.06.2004 20:05
Du musst das ganze im abgesicherten Modus machen. Dann sollte es klappen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:34 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131