|
Noch hilft nix: Startseite läßt sich nicht mehr ändern... Meine Startseite läßt sich nicht mehr ändern. Es ist zwar immer noch die Seite, die ich selbst eingetragen habe und das Feld ist auch offen. Aber wenn ich eine neue Seite eintrage (egal ob bei den Internetoptionen oder direkt in der Registrierung) wird diese sofort wieder durch die alte ersetzt...:confused: |
Hallo, a.-hoffmann, bitte sei so gut und poste ein neues HiJackThis Log : http://www.trojaner-board.de/51130-a...ijackthis.html damit wir Dir weiterhelfen können. |
Logfile of HijackThis v1.98.2 Scan saved at 16:05:19, on 21.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe E:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe E:\Programme\NoPopUp 2003\nopopup.exe E:\Programme\Steganos AntiDialer 6\guard.exe C:\Programme\MSN Messenger\MsnMsgr.Exe E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Program Files\AMD\PowerNow!\GemServ.exe C:\Program Files\AMD\PowerNow!\gemback.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Programme\Paid4\CashCrawler\cashcrawler_surfbar.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE F:\Eigene Dateien\Software\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cashcrawler.de/open/?id=ahoffmann O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KAVPersonal50] E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AWMON] "E:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535 O4 - HKCU\..\Run: [NoPopUp] E:\Programme\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [Steganos AntiDialer 6] "E:\Programme\Steganos AntiDialer 6\guard.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [PopUpStopperProfessional] "E:\Programme\Panicware\Pop-Up Stopper Professional\PopUpStopperProfessional.exe" O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096993825194 O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab |
Hi, kontrollieren und danach fixen: E:\Programme\Paid4\CashCrawler\cashcrawler_surfbar .exe -------------- Bitte mit escan oder online virus scan prüfen (z.B.: http://www.kaspersky.com/de/remoteviruschk.html) C:\WINDOWS\system32\slserv.exe --> könnte W32/Gaobot.CR virus -------------- R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cashcrawler.de/open/?id=ahoffmann O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535 O4 - HKCU\..\Run: [NoPopUp] E:\Programme\NoPopUp 2003\nopopup.exe /autorun Greetz Blackdog |
Hmm, danke. Aber soweit war ich schon. Ist alles in Ordnung, außer daß ich dieses Teil hier heute schonmal gelöscht habe: Zitat:
Ich fixe es mal nochmal... |
Zitat:
Kann mir jemand sagen, ob ich die über den Explorer einfach löschen kann, oder ist die wichtig? Die nennt sich comctl32.dll |
@ a.-hoffmann boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This: O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535 Lösche dann die C:\WINDOWS\WinSxS\InstallTemp\12031535 Boote in den normalen Modus, aktiviere die Systemwiederherstellung. Alles was Du bei WindowsXP löschen willst, muss bei deaktivierter Systemwiederherstellung geschehen .. siehe Link. Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com. SD |
Okay, danke. Werde ich mal ausprobieren. Ich wollte es gerade mit dem Rücksetzen auf ein Datum probieren, an dem ich die Startseite noch ändern konnte, aber dieses Viech hat mir alle Systemwiederherstellungspunkte gelöscht...:mad: |
Hab alles Schritt für Schritt befolgt, aber das Teil läßt sich auch mit deaktivierter Systemwiederherstellung und im abgesicherten Modus nicht wirklich löschen :mad: Die seltsame Datei ist weg, aber HijackThis zeigt mir immer noch den Eintrag Zitat:
Die Startseite lässt sich auch immer noch nicht ändern... |
Bleibt nur noch formatieren, oder gibt es sonst noch eine Möglichkeit? :confused: |
Das ist jetzt bißchen wild geraten, aber eventuell hat das etwas mit der relativ neuen jpeg-Sicherheitslücke zu tun. Hast du nach dem Servicepack 2 die aktuellen Windowsupdates regelmäßig aufgespielt? Ich denke nein, du solltest das nachholen bzw, gleich SP 2 installieren. Scanne deinen Rechner mal mit diesem Programm: http://isc.sans.org/gdiscan.php Welche Datei ist denn genau weg? Nach HJT hat die 12031535 ja gar keine richtige Endung. Ist in dem Ordner C:\WINDOWS\WinSxS\InstallTemp\ denn noch irgendwas vorhanden? Poste bitte auch noch mal ein aktuelles HJT-Log. |
Zitat:
Das HJT-Log hat sich nicht verändert, denn wie gesagt, ich kriege den Eintrag nicht raus. Gelöscht ist bis jetzt nur die Datei comctl32.dll aus dem Ordner C:\WINDOWS\WinSxS\InstallTemp\ Der Ordner C:\WINDOWS\WinSxS\InstallTemp\ ist jetzt leer, wie bei den anderen WinXP-Rechnern, die ich hier zum Vergleichen habe, auch. Ansonsten hat sich nix verändert...:heulen: Den Scan werde ich gleich mal machen. Kaspersky und escan konnten nix finden, aber ich probier das auch noch... |
Auch, wenn du das SP" nicht installieren möchtest (was ich aber raten würde), solltest du auf jeden Fall alle Sicherheitspatches für XP und den IE herunterladen. |
So, hab gescannt. Nun hab ich hier gelbe Kommentare "Possibly vulnerable" und rote Kommentare "Vulnerable Version" Und jetzt? |
In welchen Ordnern sind diese Versionen denn? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:42 Uhr. |
Copyright ©2000-2025, Trojaner-Board