Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Renitente Startseite (https://www.trojaner-board.de/6930-renitente-startseite.html)

matt 16.08.2004 20:07
Renitente Startseite
 
Hallo zusammen,

ich habe ein Problem, welches mich langsam in den Wahnsinn treibt! :headbang:
Mein IE zeigt eine unerwünschte Startseite "http://bestsearch.cc".
Diese läßt sich kurzfristig über die Internetoptionen entfernen. Nach einem Neustart des IE ist Sie jedoch wieder da. Die Seite ist über ihre IP in der Regestry eingetragen (HKCU + HKLM /Software/Microsoft/Internet Explorer/Main + Search, weiterhin als Präfix und Ersatz für "www".
Ein Löschen aus der Registry bringt rein garnichts, da sich die Einträge automatisch wieder erneuern.

Daraufhin habe ich im abgesicherten Modus:
1. eScan laufen lassen und die enttarnten Trojaner wurden gelöscht.
2. Habe ich HiJack this laufen lassen und die Einträge gefixt.
3. habe ich HiJach this nochmals laufen lassen. Die Einträge waren verschwunden.
4. Habe ich HiJack this geschlossen und wieder geöffnet, gescannt und siehe da, die Einträge waren wieder da.
5. Wieder gefixt.
6. Erneut gescannt, Einträge weg.
7. Registry aufgerufen, Einträge gesucht und Einträge wieder da.
8. HiJack erneut gescannt, gefixt, erneut gescannt. Einträge wieder weg.
9. Beginne bei 4. und laufe in der Endlosschleife.

:mad: Langsam bin ich es leid!!! :mad:

Wer weiss Rat?

Liebe Grüße matt

Cidre 16.08.2004 20:12
Hallo,

poste doch mal ein Log-File, wenn das Problem besteht.

N2BParka 17.08.2004 08:24
Gehe zu diesen link

h**p://bestsearch.cc/remove.exe

der ist auch auf der Webseite unten links zu finden

Lutz 17.08.2004 09:03
Vorsicht!


@N2BParka,
bitte keine direkten Downloadlinks anklickbar im Forum posten! Bitte ändere /lösche den Link!

@all
es ist grundsätzlich äußerste Vorsicht geboten, wenn von 'unbekannten Seiten' ausführbare Dateien heruntergeladen werden. Das sollte eigentlich klar sein. Bei diesen angeblichen Hijacker-Deinstallern kann man sich zusätzlich niemals sicher sein, hier nicht den Teufel mit dem Belzebub auszutreiben zu versuchen. Ich kann nur davon abraten solche 'angeblichen' Deinstaller auszuführen, wenn man nicht in der Lage ist, zu ermitteln, was diese genau durchführen. Und wer von uns kann das schon...?!?

matt 17.08.2004 09:05
Zitat:
Zitat von N2BParka
Gehe zu diesen link

http://bestsearch.cc/remove.exe

der ist auch auf der Webseite unten links zu finden
Danke für den Hinweis.

Bringt jedoch überhaupt nichts!!!

matt

matt 17.08.2004 09:19
Hallo zusammen,

hier nun der Post. Der erste ist der mit den Einträgen:

Logfile of HijackThis v1.98.2
Scan saved at 09:52:43, on 17.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\avsynmgr.exe
C:\WINDOWS\System32\apwsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
C:\Programme\Network Associates\VirusScan\Webscanx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\system32\RZPJWTCH.EXE
C:\Programme\PFU\ScanSnap!\Driver\PfuSsMon.exe
C:\Programme\PFU\ScanSnap!\CardMinder\bcd_file\SbCRecE.exe
C:\PROGRA~1\OfficeXP\Office10\OUTLOOK.EXE
C:\Programme\Quester\OutlookFolders\OLWServer.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\FriFon32.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php
O2 - BHO: SCardBHOEvent Class - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DV02DF~1.DLL
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CSINIT] C:\WINDOWS\System32\spool\DRIVERS\W32X86\CSINIT.EXE
O4 - HKLM\..\Run: [CardMinder] C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: NaturalColorLoad.lnk = ?
O4 - Startup: OutlookFolders.lnk = C:\Programme\Quester\OutlookFolders\OLWServer.exe
O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: Verknüpfung mit FriFon32.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\system32\RZPJWTCH.EXE
O4 - Global Startup: ScanSnap! Monitor.lnk = ?
O4 - Global Startup: VIWAS-Update.lnk = C:\DATEV\PROGRAMM\VIWAS\viwasupd.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe
O13 - DefaultPrefix: http://69.50.191.50/?
O13 - WWW Prefix: http://69.50.191.50/?

Nun der Eintrag nach HiJack this

Logfile of HijackThis v1.98.2
Scan saved at 09:59:22, on 17.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\VirusScan\avsynmgr.exe
C:\WINDOWS\System32\apwsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Network Associates\VirusScan\VsStat.exe
C:\Programme\Network Associates\VirusScan\Vshwin32.exe
C:\WINDOWS\SCARDS32.EXE
C:\Programme\Gemeinsame Dateien\Network Associates\McShield\mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\system32\RZPJWTCH.EXE
C:\Programme\PFU\ScanSnap!\Driver\PfuSsMon.exe
C:\Programme\PFU\ScanSnap!\CardMinder\bcd_file\SbCRecE.exe
C:\PROGRA~1\OfficeXP\Office10\OUTLOOK.EXE
C:\Programme\Quester\OutlookFolders\OLWServer.exe
C:\Programme\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe

O2 - BHO: SCardBHOEvent Class - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DV02DF~1.DLL
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Windows Shell Library Loader] load shell32.dll /c /set
O4 - HKLM\..\Run: [TomcatStartup] C:\Programme\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [StatusClient] C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [DVIVRES] C:\DATEV\PROGRAMM\WINIV\pc-abo.exe
O4 - HKLM\..\Run: [DVCCSAWTSSetEntryNTE] C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe on
O4 - HKLM\..\Run: [CSINIT] C:\WINDOWS\System32\spool\DRIVERS\W32X86\CSINIT.EXE
O4 - HKLM\..\Run: [CardMinder] C:\Programme\PFU\ScanSnap!\CardMinder\CardLauncher.exe
O4 - Startup: Microsoft Outlook.lnk = ?
O4 - Startup: NaturalColorLoad.lnk = ?
O4 - Startup: OutlookFolders.lnk = C:\Programme\Quester\OutlookFolders\OLWServer.exe
O4 - Startup: Verknüpfung mit FriFax32.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: Verknüpfung mit FriFon32.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: RZPJWTCH.LNK = C:\WINDOWS\system32\RZPJWTCH.EXE
O4 - Global Startup: ScanSnap! Monitor.lnk = ?
O4 - Global Startup: VIWAS-Update.lnk = C:\DATEV\PROGRAMM\VIWAS\viwasupd.exe
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten 2.0b\preispiraten2.exe

Ich habe die auf jeden Fall korekten Zeilen der Übersicht halber entfernt.
Die Logs wechseln sich ab. Gescant, gefixt, HiJack geschlossen, heruntergefahren, Hijack geöffnet, gescannt, gefixt und so weiter und so fort.

Gruß matt

*Christian* 17.08.2004 21:41
Da ist einiges drin!
Scanne mal mit eScan im abgesicherten Modus: http://www.trojaner-board.de/showthread.php?t=6083

Danach poste bitte ein neues HijackThis-Log!


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:49 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19