Trojaner-Board - IE-Startseite laesst sich nicht mehr aendern

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - IE-Startseite laesst sich nicht mehr aendern (https://www.trojaner-board.de/9335-ie-startseite-laesst-mehr-aendern.html)

ich dachte das gehoert zum yahoo messenger. mal sehen was passiert wenn ich es weg mache.

Sei so gut, und lade Dir mal Clearprog runter, setze bei IE und Windows alle Häkchen und lass es laufen.
Schau mal was passiert.

hi cacatoa
hab vorhin erstmal O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} - http://us.dl1.yimg.com/download.yah...utocomplete.cab gefixt. hat aber leider nichts gebracht.
dann hab ich noch aboutbuster laufen lassen, der hat auch nichts gebracht.
dein letzter tip hat zwar 43 mb geloescht aber diese verflixte seite ist immer noch da und laesst sich nicht aendern.
ich steh nervlich vor einer neuinstallation.
flatline

Hi,
schick doch bitte mal ein neues Logfile, muß da mal was überprüfen. Danke

Logfile of HijackThis v1.98.2
Scan saved at 21:59:19, on 08.11.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\ibmpmsvc.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\ZONELABS\vsmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\ZONELABS\minilog.exe
C:\WINNT\Explorer.exe
C:\WINNT\System32\tp4mon.exe
C:\WINNT\System32\atiptaxx.exe
C:\WINNT\System32\ltcm000c.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe
C:\WINNT\System32\SMCSTA.EXE
C:\WINNT\System32\LVCOMSX.EXE
F:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\System32\internat.exe
F:\programme\babylon\babylon.exe
C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
F:\Programme\Logitech\Video\FxSvr2.exe
F:\Programme\Netscape\Netscape7\Netscp.exe
C:\Dokumente und Einstellungen\iosn.SOHO\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cust...ch/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/cust.../www.yahoo.com
F2 - REG:system.ini: UserInit=Userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - f:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [XircWinModem4] ltcm000c.exe 9
O4 - HKLM\..\Run: [Nokia Connection Monitor] "C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclConf.exe"
O4 - HKLM\..\Run: [SMCSTA.EXE] SMCSTA.EXE START
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] F:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] F:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Babylon Translator] F:\programme\babylon\babylon.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Acrobat Assistant.lnk = F:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\Zone Labs\ZoneAlarm\zapro.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

Ich hab jetzt mal die für HJT unbekannten Prozesse gecheckt, finde aber nichts ungewöhliches. Ich frag mal im board weiter.

danke
die seite ist uebrigens xysearch.biz/?wmid=1010
im netz hab ich genau darueber auch nichts gefunden.

Woher weißt Du, was für eine Seite das ist? Oder hab´ich was überlesen?
cacatoa

das ist die startseite die im ie eingestellt ist und sich nicht aendern laesst. hatte ich das nicht erwaehnt, sorry.

hab jetzt noch mit ad-aware gescannt und folgendes gefunden.

Vendor:Possible Browser Hijack attempt
Category:Vulnerability
Object Type:Regkey
Size:4 Bytes
Location:...\Internet Settings\ZoneMap\Domains\aifind.info\
Last Activity:10.11.2004
Risk Level:Moderate
TAC index:3
Comment:Trusted zone presumably compromised : aifind.info
Description:Possible attempt to control/redirect the browser. This object referrs to a "blacklisted" site. If the site listed is the site intended (in other words, it is set to the setting you wish it to be set to), add this listing to your ignorelist. If not, then selecting this item will reset your browser to the default setting for this item.

Vendor:Possible Browser Hijack attempt
Category:Vulnerability
Object Type:RegValue
Size:4 Bytes
Location:...\CurrentVersion\Internet Settings\ZoneMap\Domains\aifind.info "*"
Last Activity:10.11.2004
Risk Level:Moderate
TAC index:3
Comment:Trusted zone presumably compromised : aifind.info
Description:Possible attempt to control/redirect the browser. This object referrs to a "blacklisted" site. If the site listed is the site intended (in other words, it is set to the setting you wish it to be set to), add this listing to your ignorelist. If not, then selecting this item will reset your browser to the default setting for this item.

leider tauchen nach dem loeschen, booten und scannen immer wieder die gleichen eintraege auf.
flatline

Hallo, flatline,
jetzt wird mir einiges klar. Das versteckt sich hinter "aifind.info".
Deshalb kann es sein, daß so manches bei Dir nicht mehr geht, wovon Du jetzt noch nichts weißt. Deshalb gibt es nur eine sichere Lösung denn dein System ist wahrscheinlich schon kompromittiert
dies ist meine Meinung, du kannst aber gerne noch Kollegen im Board befragen.
Sorry.
cacatoa

hi cacatoa

na klasse, danke fuer die muehe.
ich schalte jetzt ab, in zwei tagen hab ich das system dann wieder so weit.

flatline