Trojaner-Board - Problem mit Startseite Cool Web search

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Problem mit Startseite Cool Web search (https://www.trojaner-board.de/8471-problem-startseite-cool-web-search.html)

Problem mit Startseite Cool Web search

Hallo Forum,

habe seit einiger Zeit das Problem, dass sich die oben genannte Seite immer als Startseite festlegt.Weiterhin kriege ich nur noch porno popups.
Wie bekomme ich diesen Sch** weg??

Hier mal das Logfile von Hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 18:53:30, on 15.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Kemal\Eigene Dateien\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=103&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=103&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {626886F5-0E40-2626-FD2B-6A22AEACA6C6} - C:\WINDOWS\addjv32.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [rbxxhtwi] C:\WINDOWS\System32\qxbweyd.exe
O4 - HKLM\..\Run: [msfq.exe] C:\WINDOWS\msfq.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Mozilla1.7.3\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [Stue] C:\Dokumente und Einstellungen\Kemal\Anwendungsdaten\hrod.exe
O4 - Startup: Fritz!web DSL.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Corel Network monitor worker - {10958676-F91D-4B32-8EBF-5BAD9607D507} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {10958676-F91D-4B32-8EBF-5BAD9607D507} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: concept/design's onlineTV - {2DE9CB8A-0BF8-4DA6-A84A-02B1EBE281B0} - C:\Programme\onlineTV\onlineTV.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Corel Network monitor worker - {10958676-F91D-4B32-8EBF-5BAD9607D507} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {10958676-F91D-4B32-8EBF-5BAD9607D507} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=103&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=103&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=103&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=103&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=103&q=
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv124/x.chm::/load.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/399.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097770845954
O16 - DPF: {7CEFB392-FF84-0A99-50BC-04933E211AA2} - http://213.159.117.150/1/rdgDE10.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pu...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AB60ED69-0DF8-41A1-8C34-27160AE8B0E1}: NameServer = 192.168.122.252,192.168.122.253
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

Ich hoffe mir kann jemand helfen.

Danke schonmal

malatyali

Zitat:

Zitat von malatyali

Hallo Forum,

habe seit einiger Zeit das Problem, dass sich die oben genannte Seite immer als Startseite festlegt.Weiterhin kriege ich nur noch porno popups.
Wie bekomme ich diesen Sch** weg??
O15 - Trusted Zone: *.slotch.com
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...06_regular.cab

Ich hoffe mir kann jemand helfen.

Danke schonmal

malatyali

*XXXToolbar.com/slotch.com/ISTbar -*dornimauge*

Die gehoeren im uebrigen zu der Sorte : Erst war es nur ein Parasit,
dann ganz viele ;(
http://www.xxxtoolbar.com/ist/softwares/
^^^^^^^ wie der Name schon sagt

Koenntest Du mal deinen Rechner mit Spybot S&D scannen, und mir dann deinen Spybot-Report zukommen lassen. Vielleicht angel ich mal wieder was neues von meinen speziellen Freunden ;)

Gruss
Michael
:headbang: 0

Tip: trag mal in deiner HOSTS install.xxxtoolbar.com, xxxtoolbar.com, www.xxxtoolbar.com und das ganze nochmal fuer slotch.com ein
weil slotch.com = xxxtoolbar.com = 216.127.33.119

Dies ist ein illegaler Dialer: rdgDE10.exe
Du solltest diesen für evtl. Beweiszwecke auf Diskette sichern.

Lösche diese Dateien, sofern noch vorhanden:

C:\WINDOWS\System32\systime.exe
C:\WINDOWS\System32\qxbweyd.exe
C:\WINDOWS\msfq.exe
C:\WINDOWS\System32\systime.exe
C:\Dokumente und
Einstellungen\Kemal\Anwendungsdaten\hrod.exe

Fixe mit HijackThis dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=103&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=103&q=%s
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {626886F5-0E40-2626-FD2B-6A22AEACA6C6} -
C:\WINDOWS\addjv32.dll (file missing)
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [rbxxhtwi] C:\WINDOWS\System32\qxbweyd.exe
O4 - HKLM\..\Run: [msfq.exe] C:\WINDOWS\msfq.exe
O4 - HKCU\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKCU\..\Run: [Stue] C:\Dokumente und
Einstellungen\Kemal\Anwendungsdaten\hrod.exe
O9 - Extra button: Corel Network monitor worker - {10958676-F91D-4B32-8EBF-5BAD9607D507} - (no file)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {10958676-F91D-4B32-8EBF-5BAD9607D507} - (no file)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file)
O9 - Extra button: Corel Network monitor worker - {10958676-F91D-4B32-8EBF-5BAD9607D507} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {10958676-F91D-4B32-8EBF-5BAD9607D507} - (no file) (HKCU)
O9 - Extra button: (no name) - {237AA178-C3BC-4f67-A8BB-D8BC14BA0B89} - (no file) (HKCU)
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=103&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=103&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=103&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=103&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=103&q=
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O16 - DPF: {11111111-1111-1111-1111-111111111157} - ms-its:mhtml:file://c:\nosuch.mht!http://213.159.117.133/dl/adv124/x.chm::/load.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/bltd/399.chm::/file.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...006_regular.cab
O16 - DPF: {40BF816B-D862-41B9-9445-ECA36D5F67F9} (Flatcast Viewer 4.12) - http://www.1mal1.com/flatcast/NpFv412.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.c...b?1097770845954
O16 - DPF: {7CEFB392-FF84-0A99-50BC-04933E211AA2} - http://213.159.117.150/1/rdgDE10.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/p...ash/swflash.cab
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)

www.windowsupdate.com besuchen und alle Updates und Patches installieren!

Am sicheresten wäre aber dies:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Zitat:

Zitat von *Christian*

Hallo !!!

als erstes danke ich dir und du hast recht Formatieren ist am besten.
Es bringt nichts so lange am Rechner zu fummeln.
Malatyali :party:

@ malatyali

solltest Du Dein System noch nicht formatiert haben, sei bitte so nett, lade Spybot-Search & Destroy 1.3 runter, scanne damit Deinen Rechner. Erstelle einen Spybot Report, speichere ihn ab und sende ihn, mit folgendem Hinweis -CWS-Trojaner-board.de- an detections@spybot.info (zu Forschungszwecken). Danke.

SD

Mein Tipp>Power Web Office1.04XP<instalieren....neustart...Programme...Power Web Office...Service....Fix Lybraries....Neustart....und sauber :huepp: :huepp: :huepp: :party: