|
Noch hilft nix: Startseite läßt sich nicht mehr ändern... Meine Startseite läßt sich nicht mehr ändern. Es ist zwar immer noch die Seite, die ich selbst eingetragen habe und das Feld ist auch offen. Aber wenn ich eine neue Seite eintrage (egal ob bei den Internetoptionen oder direkt in der Registrierung) wird diese sofort wieder durch die alte ersetzt...:confused: |
Hallo, a.-hoffmann, bitte sei so gut und poste ein neues HiJackThis Log : http://www.trojaner-board.de/51130-a...ijackthis.html damit wir Dir weiterhelfen können. |
Logfile of HijackThis v1.98.2 Scan saved at 16:05:19, on 21.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe E:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe E:\Programme\NoPopUp 2003\nopopup.exe E:\Programme\Steganos AntiDialer 6\guard.exe C:\Programme\MSN Messenger\MsnMsgr.Exe E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Program Files\AMD\PowerNow!\GemServ.exe C:\Program Files\AMD\PowerNow!\gemback.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE E:\Programme\Paid4\CashCrawler\cashcrawler_surfbar.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE F:\Eigene Dateien\Software\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cashcrawler.de/open/?id=ahoffmann O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KAVPersonal50] E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AWMON] "E:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535 O4 - HKCU\..\Run: [NoPopUp] E:\Programme\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [Steganos AntiDialer 6] "E:\Programme\Steganos AntiDialer 6\guard.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [PopUpStopperProfessional] "E:\Programme\Panicware\Pop-Up Stopper Professional\PopUpStopperProfessional.exe" O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096993825194 O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab |
Hi, kontrollieren und danach fixen: E:\Programme\Paid4\CashCrawler\cashcrawler_surfbar .exe -------------- Bitte mit escan oder online virus scan prüfen (z.B.: http://www.kaspersky.com/de/remoteviruschk.html) C:\WINDOWS\system32\slserv.exe --> könnte W32/Gaobot.CR virus -------------- R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cashcrawler.de/open/?id=ahoffmann O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535 O4 - HKCU\..\Run: [NoPopUp] E:\Programme\NoPopUp 2003\nopopup.exe /autorun Greetz Blackdog |
Hmm, danke. Aber soweit war ich schon. Ist alles in Ordnung, außer daß ich dieses Teil hier heute schonmal gelöscht habe: Zitat:
Ich fixe es mal nochmal... |
Zitat:
Kann mir jemand sagen, ob ich die über den Explorer einfach löschen kann, oder ist die wichtig? Die nennt sich comctl32.dll |
@ a.-hoffmann boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This: O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535 Lösche dann die C:\WINDOWS\WinSxS\InstallTemp\12031535 Boote in den normalen Modus, aktiviere die Systemwiederherstellung. Alles was Du bei WindowsXP löschen willst, muss bei deaktivierter Systemwiederherstellung geschehen .. siehe Link. Platform: Windows XP SP1 (WinNT 5.01.2600) - Dein Betriebssystem ist nicht auf dem aktuellen Stand, besuche www.windowsupdate.com. SD |
Okay, danke. Werde ich mal ausprobieren. Ich wollte es gerade mit dem Rücksetzen auf ein Datum probieren, an dem ich die Startseite noch ändern konnte, aber dieses Viech hat mir alle Systemwiederherstellungspunkte gelöscht...:mad: |
Hab alles Schritt für Schritt befolgt, aber das Teil läßt sich auch mit deaktivierter Systemwiederherstellung und im abgesicherten Modus nicht wirklich löschen :mad: Die seltsame Datei ist weg, aber HijackThis zeigt mir immer noch den Eintrag Zitat:
Die Startseite lässt sich auch immer noch nicht ändern... |
Bleibt nur noch formatieren, oder gibt es sonst noch eine Möglichkeit? :confused: |
Das ist jetzt bißchen wild geraten, aber eventuell hat das etwas mit der relativ neuen jpeg-Sicherheitslücke zu tun. Hast du nach dem Servicepack 2 die aktuellen Windowsupdates regelmäßig aufgespielt? Ich denke nein, du solltest das nachholen bzw, gleich SP 2 installieren. Scanne deinen Rechner mal mit diesem Programm: http://isc.sans.org/gdiscan.php Welche Datei ist denn genau weg? Nach HJT hat die 12031535 ja gar keine richtige Endung. Ist in dem Ordner C:\WINDOWS\WinSxS\InstallTemp\ denn noch irgendwas vorhanden? Poste bitte auch noch mal ein aktuelles HJT-Log. |
Zitat:
Das HJT-Log hat sich nicht verändert, denn wie gesagt, ich kriege den Eintrag nicht raus. Gelöscht ist bis jetzt nur die Datei comctl32.dll aus dem Ordner C:\WINDOWS\WinSxS\InstallTemp\ Der Ordner C:\WINDOWS\WinSxS\InstallTemp\ ist jetzt leer, wie bei den anderen WinXP-Rechnern, die ich hier zum Vergleichen habe, auch. Ansonsten hat sich nix verändert...:heulen: Den Scan werde ich gleich mal machen. Kaspersky und escan konnten nix finden, aber ich probier das auch noch... |
Auch, wenn du das SP" nicht installieren möchtest (was ich aber raten würde), solltest du auf jeden Fall alle Sicherheitspatches für XP und den IE herunterladen. |
So, hab gescannt. Nun hab ich hier gelbe Kommentare "Possibly vulnerable" und rote Kommentare "Vulnerable Version" Und jetzt? |
In welchen Ordnern sind diese Versionen denn? |
Zitat:
|
Zitat:
http://www.picupload.net/files/20042210/1098447041.jpg |
Poste bitte noch mal ein aktuelles Logfile. Was mir wirklich nicht einleuchtet ist, dass sich der Starteintrag mit deaktivierter Systemsteuerung im abgesicherten Modus nicht entfernen lässt. EDIT: schau mal, ob du dieses Update auch hast: http://www.microsoft.com/technet/sec.../MS04-028.mspx |
Den Starteintrag selbst konnte ich nicht ändern, da ich im abgesicherten Modus keinen Zugriff auf diesen Teil der Registrierung hatte. Den Eintrag von HijackThis habe ich gefixt, weiß nicht, ob der sich sofort wieder eingetragen hat, aber nach dem Neustart war er auf jeden Fall wieder da... Hier das aktuelle Logfile: Logfile of HijackThis v1.98.2 Scan saved at 14:44:52, on 22.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe E:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe E:\Programme\NoPopUp 2003\nopopup.exe E:\Programme\Steganos AntiDialer 6\guard.exe C:\Programme\MSN Messenger\MsnMsgr.Exe E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Program Files\AMD\PowerNow!\GemServ.exe C:\Program Files\AMD\PowerNow!\gemback.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE F:\Eigene Dateien\Software\gdiscan.exe C:\WINDOWS\System32\svchost.exe F:\Eigene Dateien\Software\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cashcrawler.de/open/?id=ahoffmann O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KAVPersonal50] E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AWMON] "E:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535 O4 - HKCU\..\Run: [NoPopUp] E:\Programme\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [Steganos AntiDialer 6] "E:\Programme\Steganos AntiDialer 6\guard.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [PopUpStopperProfessional] "E:\Programme\Panicware\Pop-Up Stopper Professional\PopUpStopperProfessional.exe" O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096993825194 O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab |
Das Update hatte ich scheinbar noch nicht drauf, hab's grad installiert... |
Hilft da jetzt nur noch "format c:" oder hat noch jemand einen anderen Tipp? :heulen: |
Also irgendwie hast du aber die Sachen noch nicht gefixed, evtl. war das auch ein Mißverständnis. Daher: Systemwiederherstellung deaktivieren, in den abgesicherten Modus booten: http://www.bsi.bund.de/av/texte/wiederher_xp.htm Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cashcrawler.de/open/?id=ahoffmann O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535 |
Daß ich den Eintrag R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cashcrawler.de/open/?id=ahoffmann auch fixen soll, war vorher nicht erwähnt. Hab nur den WinSideBySide-Eintrag gefixt, aber der war gleich wieder da. Ich probiers dann nachher nochmal und fixe diesmal BEIDE Einträge... |
Nu hab ich beide Dateien gefixt und direkt nach dem fixen im abgesicherten Modus ein Log-File gemacht: Logfile of HijackThis v1.98.2 Scan saved at 17:54:06, on 22.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE F:\Eigene Dateien\Software\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KAVPersonal50] E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AWMON] "E:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096993825194 O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab Und nach dem Neustart habe ich nochmal ein Log-File gemacht, das sieht dann wieder so aus: Logfile of HijackThis v1.98.2 Scan saved at 17:59:17, on 22.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe E:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe E:\Programme\NoPopUp 2003\nopopup.exe E:\Programme\Steganos AntiDialer 6\guard.exe C:\Programme\MSN Messenger\MsnMsgr.Exe E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Program Files\AMD\PowerNow!\GemServ.exe C:\Program Files\AMD\PowerNow!\gemback.exe C:\WINDOWS\system32\slserv.exe C:\WINDOWS\System32\wuauclt.exe F:\Eigene Dateien\Software\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cashcrawler.de/open/?id=ahoffmann O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [KAVPersonal50] E:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe O4 - HKLM\..\Run: [AWMON] "E:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKLM\..\RunOnce: [WinSideBySideSetupCleanup 12031535] rundll32 sxs.dll,SxspRunDllDeleteDirectory C:\WINDOWS\WinSxS\InstallTemp\12031535 O4 - HKCU\..\Run: [NoPopUp] E:\Programme\NoPopUp 2003\nopopup.exe /autorun O4 - HKCU\..\Run: [Steganos AntiDialer 6] "E:\Programme\Steganos AntiDialer 6\guard.exe" O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKCU\..\Run: [PopUpStopperProfessional] "E:\Programme\Panicware\Pop-Up Stopper Professional\PopUpStopperProfessional.exe" O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096993825194 O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab Das Sicherheitsupdate hatte ich übrigens doch schon vorher drauf... |
Hast du dich denn mal bei diesem cashcrawler-zeug angemeldet? Eventuell ist es ja als Adware mit einem anderen Programm gekommen, evtl. die Popupstopper? Weisst du evtl. ob dieses Problem gleichzeitig mit der Installation eines Programmes auftraten? Teste mal die soundman.exe hier: http://virusscan.jotti.org/de |
CashCrawler ist eine Surfbar und bezahlte Startseite. Ich hatte keinerlei Probleme, bis ich mir die Seite als Startseite eingerichtet habe. Ich habe da auch schon dran gedacht und habe bei denen ins Forum geschrieben. Mal sehen, ob sich andere User melden, denen es genauso ergangen ist... Ich werd mich da dann wohl abmelden. So langsam habe ich keine Lust mehr. Wenn von dort keine Lösung kommt, werde ich nächste Woche die Festplatte formatieren... |
@ a.-hoffmann da ich aus Deinem Logfile nicht entnehmen kann, dass Du den eScan schon ausgeführt hast, folgender Rat: lade den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht mehr automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen -> " (Cidre) Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. SD |
Ja, gut... Bei CashCrawler will damit keiner was zu tun haben: http://www.cashcrawler.de/forum/viewtopic.php?t=6736 Was mir noch aufgefallen ist: Immer wenn ich den Rechner neu gestartet habe, bekomme ich von adwatch folgende Meldung: http://www.picupload.net/files/20042310/1098516103.jpg escan hatte ich schon laufen, nur ohne update. Das mache ich dann jetzt mal... |
Puh, und ich dachte nun die ganze Zeit, dieses cashcrawler-Ding hat deine Startseite gehijacked, dabei hast du es dir selber installiert... |
So, danke für die Unterstützung, aber ich hab jetzt mal mit format c einen Schlußstrich unter die Geschichte gezogen...:schmoll: Das Interessante ist: Nachdem ich kurz im Internet war, hat AdWatch mir genau das gleiche Teil als Angriff gemeldet. Ich habe es natürlich geblockt. Scheint irgendwo bei uns im Firmennetzwerk rumzugeistern, das Viech... Naja, AdWatch wehrt es jetzt für mich ab und ich werde mir nächste Woche mal die anderen Rechner ankucken...:kloppen: |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 13:55 Uhr. |
Copyright ©2000-2025, Trojaner-Board