Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   WebSiteViewer und Probleme mit IE Explorer Startseite (https://www.trojaner-board.de/6107-websiteviewer-probleme-ie-explorer-startseite.html)

Manny 30.06.2004 20:06
WebSiteViewer und Probleme mit IE Explorer Startseite
 
Hallo

Bin absoluter Neuling auf dem PC Sektor und habe mit meinem System folgende Probleme.

1. Ein Programm Namens WebSiteViever macht mit schwer zu schaffen.
Auch nach dem löschen mit HD Cleaner,Reg Cleaner und auch manuell
stellt es sich immer wieder selbst her. Nach ca. 30 Min. mit dem IE Explorer
im Netz tritt es wieder auf und unterbricht meine Verbindung. Es macht
auch eine DFÜ`Verbindungs Eintrag. Immer wieder zu finden unter C:\Programme\WebSiteViewer\123800.exe/ac:123800/sk:/lc:/ul. In diesem Ortner befinden sich dann 3 Einträge: WebSiteViewer Icon (mit nettem Mädel Gesicht, darunter XXX) 123800.ban und 123800dlr. Auch das Suchen unter Regedit so wie das löschen aller Einträge mit diesem Namen oder Nummer brachte nichts. Cw Shredder , Spybot, IEFix,mwav und sonstige Tools brachten bisher nichts.

2. Die Startseite meines IE Explorers stellt sich immer wieder auf : C:\ Windows\system32?IEsp.mht, lässt sich zwar ändern setzt sich aber bei jeder Einwahl ins Netz wieder auf die oben genannte Adresse.

Wäre nett wenn mir da mal jemand weiterhelfen könnte
Wie gesagt, bin Anfänger, wäre nett wenn man mir das verständlich für Dummies erklären könnte

*Christian* 01.07.2004 21:44
Bitte poste mal ein HijackThis-Log.
Links zu HijackThis findest du im überall hier.

Manny 03.07.2004 20:29
Puuuh endlich habe ich verstanden wie das mit dem Log File geht, hat ein bisschen länger gedauert, Sorry

Logfile of HijackThis v1.98.0
Scan saved at 21:24:41, on 03.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\eigene Programme\cFos Treiber\cFosDNT.exe
C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
C:\eigene Programme\TDSL Speed Manager\SpeedMgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\NDrv.exe
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\eigene Programme\TDSL Speed Manager\tsmsvc.exe
C:\eigene Programme\Firefox\firefox.exe
D:\Viren und Würmer\Cleaner\zum Schreiben\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\System32\IEsp.mht
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\eigene Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0B519E07-7824-4adc-8890-93D5EABBF285} - C:\WINDOWS\System32\msadocm32.dll
O2 - BHO: {194CABED-831F-4B98-B811-B4CF1C8D3E0F} - {194CABED-831F-4B98-B811-B4CF1C8D3E0F} - (no file)
O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
O2 - BHO: IE PopUpKiller+DownloadManager ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000001} - C:\EIGENE~1\GDATAD~2\DSLTUN~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\EIGENE~1\SPXBOT~1.3\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\EIGENE~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [cFosDNT] C:\eigene Programme\cFos Treiber\cFosDNT.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\eigene Programme\TDSL Speed Manager\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe
O8 - Extra context menu item: &Download with &DAP - C:\EIGENE~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\eigene Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\EIGENE~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\eigene Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit DSL-Tuning 2004 downloaden - C:\eigene Programme\G DATA DSL-Tuning 2004\IEDownload.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\eigene Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\eigene Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\EIGENE~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\EIGENE~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {866875B8-9855-48f8-BAAB-8002C325BE69} - (no file) (HKCU)
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.searchbarcash.com
O16 - DPF: {0AFDA372-EB16-11D5-8A33-0002442B5E80} (AsconOnline.Web3D) - http://as-con.de/cab/as_tools.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {CA034DCC-A580-4333-B52F-15F98C42E04C} (Downloader Class) - https://www.stopzilla.com/_download/...ler/dwnldr.cab

Verstehe zwar nicht was man da erkennen kann, aber vieleicht erklärt es mir ja einer.
Wäre nett wenn man mir weiterhelfen könnte.

Lutz 03.07.2004 20:48
  • Lade Dir bitte eScan herunter, entpacke und aktualisiere es, wie im verlinkten Thread angegeben und scanne damit den kompletten Rechner im abgesicherten Modus.
  • Starte dann (immer noch im abgesicherten Modus) HijackThis erneut, markiere die folgenden Einträge und klicke anschließend auf 'Fix checked':
    Zitat:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\WINDOWS\System32\IEsp.mht
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    O2 - BHO: {194CABED-831F-4B98-B811-B4CF1C8D3E0F} - {194CABED-831F-4B98-B811-B4CF1C8D3E0F} - (no file)
    O2 - BHO: (no name) - {1B7D753B-1981-4bd2-91F3-6D055EE113A0} - C:\WINDOWS\System32\NDrv.dll
    O2 - BHO: (no name) - {7B55BB05-0B4D-44fd-81A6-B136188F5DEB} - (no file)
    O2 - BHO: (no name) - {B930BA63-9E5A-11D3-A288-0000E80E2EDE} - (no file)
    O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
    O4 - HKCU\..\Run: [NDrv] C:\WINDOWS\System32\NDrv.exe
    O9 - Extra button: (no name) - {866875B8-9855-48f8-BAAB-8002C325BE69} - (no file) (HKCU)
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.searchbarcash.com
    O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

    Die anderen O16-Einträge solltest Du auch fixen, wenn Dir deren Herkunft nicht bekannt ist.
  • Die Dateien
    C:\WINDOWS\System32\NDrv.exe und
    C:\WINDOWS\System32\NDrv.dll
    löschen, sofern nach eScan noch vorhanden.

Manny 03.07.2004 22:13
Also erst mal vielen vielen Dank für die echt schnellen Antworten.

Ich will ja nicht nerven .......aber Sorry

Also escan runtergeladen........alles klar
Thread auch gelesen.........nu geht es los.....
also mwav entpackt sich selber, mit winrar geht bei mir nicht.
das Verzeichniss c:\bases find ich nicht, unter "Suchen" finde ich eine basesrv.dll aber sonst nichts. :confused:

Ich sollte wirklich mal lernen wie das alles funktioniert, wenn`s mir aber keiner zeigt.........................................

Radja 03.07.2004 23:38
hmmmm.... warte mal irgendwo bin ich mal konkret auf die eScan Geschichte eingegangen... Gefunden! Hier ist der Thread! (Nur falls es aus dem Thread nicht klar hervorgeht, das Verzeichnis c:\bases musst Du selbst erstellen.

sozialesAbseits 04.07.2004 01:43
Ganau den gleichen lästgen Ordner hatte ich auch!

Mußt mal im abgesicherten Modus eScan drüberlaufen lassen,dann nochmal Hijack und das Log reinstellen.

Habe vor 3Tagen auch einen Thread eröffnet.


Im Bereich "Hijacker / HiJackThis Logs posten" schau dich mal nach "Kann einen Trojaner bzw. Dialer nicht löschen".Da findeste alles.

Manny 04.07.2004 11:34
Hallo da bin ich mal wieder

Also alles so gemacht wie Lutz es beschrieben hat (hoffe ich habe es richtig gemacht)

Die Datei NDrv.dll habe ich unter suchen nicht mehr finden können....
NDrv.exe ist noch vorhanden und kann nicht gelöscht werden (Zugriff wurde verweigert), wie lösch ich die denn nun, was ist das für ne Datei?, was macht die?
Was kann/muss noch runter vom System??
Hier noch mal mein aktueller Hijack Log

Logfile of HijackThis v1.98.0
Scan saved at 11:53:48, on 04.07.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Viren und Würmer\Cleaner\zum Schreiben\HijackThis.exe

F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\eigene Programme\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUpKiller+DownloadManager ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000001} - C:\EIGENE~1\GDATAD~2\DSLTUN~1.DLL
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\EIGENE~1\SPXBOT~1.3\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\EIGENE~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [cFosDNT] C:\eigene Programme\cFos Treiber\cFosDNT.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvMixerTray] C:\Programme\NVIDIA Corporation\NvMixer\NvMixerTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\eigene Programme\TDSL Speed Manager\SpeedMgr.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &Download with &DAP - C:\EIGENE~1\DAP\dapextie.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alles mit FlashGet laden - C:\eigene Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download &all with DAP - C:\EIGENE~1\DAP\dapextie2.htm
O8 - Extra context menu item: Download with GetRight - C:\eigene Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit DSL-Tuning 2004 downloaden - C:\eigene Programme\G DATA DSL-Tuning 2004\IEDownload.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\eigene Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\eigene Programme\GetRight\GRbrowse.htm
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\EIGENE~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\EIGENE~1\FlashGet\flashget.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

Besten Dank für Eure Teilnahme

:aplaus:

sammy98 16.02.2005 00:20
kannst du mir mal die Datei, die du nicht löschen kannst schicken? Dann schau ich mal danach
sammy98 _at_ unimx.de

Gruß
Sammy98

Visacard 20.02.2005 13:14
http://www.trojaner-board.com/showthread.php?t=14162

Hi, habe das Selbe Problem.

Würde mich freuen wenn sich das mal einer anschauen kann ;-)


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131