Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Veränderte Startseite www.heterofind.com (https://www.trojaner-board.de/7007-veraenderte-startseite-www-heterofind-com.html)

pille pitt 20.08.2004 15:30

Veränderte Startseite www.heterofind.com
 
Hallo,
wie so viele habe ich ein Problem mit einer veränderten Startseite!

Mein Internet explorer schickt mich immer auf: mk:@MSITStore:C:\spe\start.chm::/start.html#

Bis jetzt hat alles versagt: adavare 6, hjackthis, spybot search & destroy, cws shradder und auch SpHjfix, AntiVir und SpywareBlaster!

Hier ein scan mit hjackthis:



Logfile of HijackThis v1.97.7
Scan saved at 16:27:40, on 20.8.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
E:\Programs\AntiVir\AVWUPSRV.EXE
D:\WINDOWS\System32\nvsvc32.exe
D:\WINDOWS\System32\svchost.exe
D:\DOKUME~1\Tim\LOKALE~1\Temp\mwavscan.com
D:\DOKUME~1\Tim\LOKALE~1\Temp\kavss.exe
D:\Programme\Internet Explorer\iexplore.exe
E:\Programs\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=9&q=%s
O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=9&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=9&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=9&q=
O17 - HKLM\System\CCS\Services\Tcpip\..\{678F8473-0D27-432F-9D2E-F4597737BD5E}: NameServer = 192.168.1.1

Bin für jede Hilfe Dankbar!





war einfach zu einfach!
mk:@MSITStore:C:\spe\start.chm::/start.html#
hier lässt sich ablesen wo der bösewicht steckt:
C:\spe\start.chm::/start.html#

euerjunkie 22.08.2004 18:39

Hallo,

habe auch probleme mit diesem Browserhijacker...
Hier mein Logfile!
Habe schon vieles probiert, aber nix hilft! Norton Anti Virus, Spybot,Adaware,Pestpatrol,
Jedes mal ist der Ordner auf C: wieder da!
Wer kann helfen?


Logfile of HijackThis v1.97.7
Scan saved at 19:27:25, on 22.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\Smc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PowerQuest\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe

C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Nokia\Services\ServiceLayer.exe

C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Widcomm\Bluetooth Software\BTTray.exe
C:\Programme\Widcomm\Bluetooth Software\BTStackServer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Klinzmann\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = mk:@MSITStore:C:\spe\start.chm::/start.html#
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.heretofind.com/show.php?id=15&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.fortytwo.uni-oldenburg.de:3128

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Nokia\Nokia PC Suite 5\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - Startup: CoolMon.lnk = C:\Programme\CoolMon\CoolMon.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html

O13 - DefaultPrefix: http://www.heretofind.com/show.php?id=15&q=
O13 - WWW Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Home Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Mosaic Prefix: http://www.heretofind.com/show.php?id=15&q=
O13 - Gopher Prefix: http://www.heretofind.com/show.php?id=15&q=
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti...l_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/25f99a28d98cfb3...dxIE601_de.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...033.4671527778
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab

Cidre 22.08.2004 18:47

Zitat:

Logfile of HijackThis v1.97.7
Poste bitte nochmal ein neues Log-File, da diese HiJackThis Version veraltert ist.
http://www.trojaner-board.de/51130-a...ijackthis.html

Rene-gad 22.08.2004 20:21

Hallo
Zitat:

Zitat von pille pitt
Logfile of HijackThis v1.97.7

Bitte die aktuelle Version benutzen
Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Bitte Windows Updaten.
Alles Weiteres kommt danach

Rene-gad 22.08.2004 20:25

Hallo
Zitat:

...vvv.heretofind.com...
....und diesen Thread durcharbeiten: http://www.trojaner-board.com/showth...ght=heretofind

Zepelin 25.08.2004 11:42

Veränderte Startseite
 
Hallo

Mein Internetexplorer bringt mich immer auf die Seite : C:\spe\start.chm::/start.html#

wie komme ich davon wieder los????
Selbst durch ändern der Startseite ist es nicht möglich.

Bitte ausfürlich antworten.


Danke
Zepelin

Nightwolf1979 25.08.2004 16:00

:kloppen: Halo Leute es ist mehr als nur einfach diesen scheiss weg zu bekommen.

Auf der Festplatte C: befindet sich ein Ordner C:\spa einfach löschen in Ihm befindet sich die Datei start sie ist verantwortlich.

Also löscht den schrott und alles geht wieder.


CU :aplaus:

*Christian* 25.08.2004 19:14

So leicht wird es wohl nicht gehen ...

@Zepelin
Poste bitte einmal ein HijackThis-Log: http://filepony.de/download-hijackthis/

Zepelin 26.08.2004 12:15

Hallo

Ich danke Euch recht herzlich. Ich habe den Ordner spe gelöscht uns schon läuft wieder alles.

Es war echt nervig immer die Seite zu sehen wenn man ins Internet möchte.

Also nochmals Danke

Gruß, der glückliche

ZEPELIN

PS: Ich hoffe das ich mir nicht so schnell wieder so ein Scheiß einfange ! ! ! !

Nightwolf1979 27.08.2004 10:32

An Christian

doch es geht so leicht.

Danach kannst du dann auch in Ruhe mit HijackThis alles Löschen was du willst und es kommt auch nicht mehr wieder.
Versuch es und du wirst es sehen.
Bei mir und den anderen geht es doch auch.

:party:

*Christian* 27.08.2004 16:54

Wenn du nur diesen Ordner löschst, dann bleiben jedoch die Registry-Einträge stehen.

HijackThis wirst du auch weiterhin benötigen.

Nightwolf1979 28.08.2004 11:15

Das ist richtig habe ich ja auch geschrieben das man es nochmals mit den zusatzprogrammen untersuchen soll. Aber ohne Löschen des Ordners kannst du machen was du willst dann hilft dir nichts.
Ganz einfach


Sorry aber manchmal ist eine einfache Lösung auch die richtige :D

*Christian* 28.08.2004 18:56

Naja .... die Registry gehört gesäubert - sonst wäre es nur eine Teillösung ...
Aber das hast du ja auch richtig erkannt. :daumenhoc


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27