Trojaner-Board - Wie krieg ich das weg ? html#96676

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Wie krieg ich das weg ? html#96676 (https://www.trojaner-board.de/7426-krieg-weg-html-96676-a.html)

Wie krieg ich das weg ? html#96676

Ich habe mir vor ca. einem Monat im Internet etwas eingefangen.
Seither erhalte ich beim Starten des Internet-Explorers immer eine
unerwünschte Startseite.
Hab schon einiges versucht - klappt aber nicht.
Den Logfile unten kann ich leider nicht interpretieren - vielleicht kann mir dabei jemand helfen. Was darf ich löschen?
Vielen Dank im voraus.

Karlheinz

Eine wichtige Information zu den laufenden Prozessen habe ich noch vergessen; bei der Erstellung des Logfiles habe ich den Rechner im abgesicherten Modus betrieben!

------------------------------------------------------------------------

Logfile of HijackThis v1.98.2
Scan saved at 15:40:56, on 08.09.2004
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Dokumente und Einstellungen\MEINGASSNER\HEINZ\Tools\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://jump.altavista.com/avie5/searchpane
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bucwy.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bucwy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://psdml.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\psdml.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\psdml.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://psdml.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {32FDEE89-3D00-0142-A0FE-63A0ED9E1F3C} - C:\WINNT\ieto32.dll
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [PRPCMonitor] PRPCUI.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [S7UB Start] "C:\Siemens\Common\S7ubtoox\s7ubtstx.exe" -StartDB
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NCLConf.exe"
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKLM\..\Run: [mfczf32.exe] C:\WINNT\mfczf32.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk.disabled
O4 - Global Startup: Office-Start.lnk.disabled
O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Acrobat Assistant.lnk.disabled
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ecolog.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ecolog.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ecolog.net

Hallo Karlheinz,

- besuche bitte zuerst www.windowsupdate.com und lade Dir das aktuelle Service Pack runter. Service Packs erhöhen die Sicherheit Deines Betriebssystems.

- scanne bitte mit dem online-scan von Kaspersky folgende Dateien:

C:\WINNT\ieto32.dll
C:\WINNT\mfczf32.exe

Ergebnis?

- bitte im abgesicherten Modus mit Hijack This fixen

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://jump.altavista.com/avie5/searchpane
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\bucwy.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://bucwy.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://psdml.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\psdml.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\psdml.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://psdml.dll/index.html#96676

R3 - Default URLSearchHook is missing

O4 - Global Startup: Microsoft-Indexerstellung.lnk.disabled

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ecolog.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ecolog.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ecolog.net

- das Programm ist mir nicht bekannt:

O4 - HKLM\..\Run: [S7UB Start] "C:\Siemens\Common\S7ubtoox\s7ubtstx.exe" -StartDB

- lade Dir bitte den eScan - entsprechend der Anleitung in diesem Thread runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung im Thread: Thread-6083

- teile uns bitte das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****
=>Virus Database Date:
=>Virus Database Count:

- erstelle dann bitte ein neues Logfile im normalen Modus und poste es hier.

SD

Hallo SD !

Herzlichen Dank für die Mühe, die Du Dir mit meinem Problem gemacht hast.
Ich kann berichten, dass ich das Problem bereits gelöst habe.
Da mich die Sache sosehr geärgert hat, habe ich einige Zeit investiert und dann unter folgendem Link die Lösung meines Problems gefunden.

http://computercops.biz/postp271166.html

-------------------------------------------------------------------------

I had good luck with the uninstaller on this page.

http://oz.msie.tv

Very small program and seemed to help. Make sure to delete any occurences of sp.html on your machine.

Good Luck !

--------------------------------------------------------------------------

Nochmals danke,
Karlheinz

Hallo Karlheinz,

danke für den Tip. Ich schaue es mir gerade an. Kannst Du eine kurze Beschreibung des Programms durchgeben?

SD

Das Programm scheint sauber zu sein (setzt die entsprechenden WEerte in der registry für homepage usw. zurück), du solltest trotzdem die von SD angeführten Dateien auf Viren scannen lassen und ein komplettes aktuelles Log aus dem normalen Modus posten.

Guten Tag,

werde die Prüfung - wie von SD empfohlen noch durchführen.
Bin leider terminlich etwas unter Druck - kann ein paar Tage dauern.

Danke für Eure Beiträge,

Karlheinz