IE Startseite ist weg ! "SEARCH FOR: " Ich krieg es nicht WEG !!!

Dieses Thema im Forum "Sicherheit" wurde erstellt von AndreasFuchs, 17. Mai 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. AndreasFuchs

    AndreasFuchs Byte

    Registriert seit:
    17. September 2000
    Beiträge:
    45
    HAllo Leute, ich weiss, dass es schon viele Einträge zu diesen und ähnliche Problemen gibt, aber ich komme damit nicht klar.
    Vielleicht können wir es doch noch einmal an meinem Beispiel durchexerzieren.

    Die Startseite des Internet Explorer 6 öffnet sich seit Tagen mit einer Art Suchmaschine " Search for: " zu allen möglichen Themen. Kurz darauf erscheint ein PopUp Fenster, das mich darauf hinweist, dass mein PC mit Spyware infiziert wäre. (Dieses Fenster wechselt von Start zu Start das Aussehen und den TExt aber immer mit gleichem Thema. Ich kann da hinklicken und gelange auf Seiten, die mir die neuste Antispyware andienen.

    Ich habe bisher (Ich nutze Win XP) mit Spybot (advanced und aktuell), Ad-Aware, ud Hijackthis herumprobiert. Ohne Erfolg.

    Hier ist mein Logfile von Hijackthis:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\FlashGet\jccatch.dll
    O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - E:\FolderBox\FolderBox.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O2 - BHO: (no name) - {DA197DAF-9456-43C4-A8A5-80F6BC2E9F56} - C:\WINDOWS\mrhop.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [zBrowser Launcher] E:\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [Fix-It AV] E:\Ontrack\Fix-It\MemCheck.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [URLLSTCK.exe] E:\Norton Internet Security\UrlLstCk.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [ATIPTA] E:\ATI\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
    O4 - HKLM\..\Run: [PtLiveUpdate] C:\Programme\Gemeinsame Dateien\Pumatech Shared\LiveUpdate Client\PtLUWorker.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - Startup: HotSync Manager.lnk = E:\Palm\HOTSYNC.EXE
    O4 - Global Startup: Exif Launcher.lnk = ?
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: officejet 6100.lnk = ?
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm
    O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: FlashGet (HKLM)
    O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {81415BAE-95B0-4654-88F7-EBD08F9C0D66} (EPGPSI.GPSI) - http://www.endlesspursuit.com/EPGPSI.CAB
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB08562-255A-42B8-B7AF-B05C902E2556}: NameServer = 217.237.150.33 194.25.2.129


    Ich bitte um Eure Mithilfe, wenns geht Schritt für Schritt....... Bin nicht SO SEHR fit und im Thema.


    Übrigens habe ich heute auch den Hijack fix von rokop-security probiert. Der teilte mir lediglich mit, dass mein PC nicht infiziert sei. F R U S T !!!!



    Mich nervt das Alles total, kann mir einer sagen, wer sowas programmiert ???

    gruss

    * Any help is appreciated * :bet:
     
  2. AndreasFuchs

    AndreasFuchs Byte

    Registriert seit:
    17. September 2000
    Beiträge:
    45
    B I N G O ! ! :D
     
  3. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
  4. AndreasFuchs

    AndreasFuchs Byte

    Registriert seit:
    17. September 2000
    Beiträge:
    45
    So, ich habe ALLES GENAU BEFOLGT !
    Soweit so gut !
    Beim Star des IExplorer kam nun nur eine blanke Seite.

    Hier das jetzt hoffentlich komplatte Logfile:

    Logfile of HijackThis v1.97.7
    Scan saved at 21:37:08, on 17.05.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    E:\Logitech\iTouch\iTouch.exe
    E:\Logitech\MouseWare\system\em_exec.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
    E:\ATI\atiptaxx.exe
    C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
    C:\Programme\Gemeinsame Dateien\Pumatech Shared\LiveUpdate Client\PtLUWorker.exe
    C:\Programme\QuickTime\qttask.exe
    E:\FinePixViewer\QuickDCF.exe
    E:\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
    E:\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
    E:\Palm\HOTSYNC.EXE
    E:\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
    C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
    E:\Ontrack\Fix-It\mxtask.exe
    E:\NORTON~2\NORTON~4\GHOSTS~2.EXE
    E:\Norton SystemWorks\Norton Antivirus\navapsvc.exe
    C:\Programme\Messenger\msmsgs.exe
    E:\NORTON~2\NORTON~2\NPROTECT.EXE
    E:\NORTON~2\NORTON~2\SPEEDD~1\NOPDB.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\HPZipm12.exe
    E:\Norton SystemWorks\Norton Antivirus\SAVScan.exe
    E:\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
    D:\1SOFTWARE\INTERNET\Hijack\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.google.de/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
    O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - E:\FlashGet\jccatch.dll
    O2 - BHO: (no name) - {BBE59AF5-EE22-4A3A-AB26-3F774D1B4216} - E:\FolderBox\FolderBox.dll
    O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - E:\Norton SystemWorks\Norton Antivirus\NavShExt.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [zBrowser Launcher] E:\Logitech\iTouch\iTouch.exe
    O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
    O4 - HKLM\..\Run: [Fix-It AV] E:\Ontrack\Fix-It\MemCheck.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [URLLSTCK.exe] E:\Norton Internet Security\UrlLstCk.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKLM\..\Run: [ATIPTA] E:\ATI\atiptaxx.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
    O4 - HKLM\..\Run: [PtLiveUpdate] C:\Programme\Gemeinsame Dateien\Pumatech Shared\LiveUpdate Client\PtLUWorker.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - Startup: HotSync Manager.lnk = E:\Palm\HOTSYNC.EXE
    O4 - Global Startup: Exif Launcher.lnk = ?
    O4 - Global Startup: hpoddt01.exe.lnk = ?
    O4 - Global Startup: Microsoft Office.lnk = E:\Microsoft Office\Office10\OSA.EXE
    O4 - Global Startup: officejet 6100.lnk = ?
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
    O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
    O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm
    O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
    O9 - Extra button: FlashGet (HKLM)
    O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Messenger (HKLM)
    O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
    O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
    O16 - DPF: {81415BAE-95B0-4654-88F7-EBD08F9C0D66} (EPGPSI.GPSI) - http://www.endlesspursuit.com/EPGPSI.CAB
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab



    Was ist nun noch zu tun ??
    Wars das schon ??


    * Any help is appreciated * :bet:

    Gruss
     
  5. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    Hallo,

    diese Einträge fixen:

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)


    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\mrhop.dll/sp.html (obfuscated)

    O2 - BHO: (no name) - {DA197DAF-9456-43C4-A8A5-80F6BC2E9F56} - C:\WINDOWS\mrhop.dll

    1. Systemwiederherstellung deaktivieren
    2. Im abgesicherten Modus anmelden
    3. Diese Einträge fixen (unten links)
    4. Neustart
    5. Neue Log Datei hier nochmal posten (Diesmal bitte die ganze Log Datei)
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen