TR/StartPage.IG.1

Dieses Thema im Forum "Sicherheit" wurde erstellt von hhc, 9. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. hhc

    hhc ROM

    Registriert seit:
    9. Juli 2004
    Beiträge:
    1
    Hallo zusammen,

    dieses Thema gibt es bestimmt schon öfters.
    Sorry, aber ich kenne mich leider zu wenig damit aus.
    Habe mir einen Trojaner eingefangen.
    Wer kann mir helfen?
    Aus anderen Beiträgen habe ich erfahren, daß ein Logfile hilfreich ist.
    Das habe ich gemacht.


    Vorab besten Dank!

    Heiko


    Logfile of HijackThis v1.98.0
    Scan saved at 18:46:21, on 09.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Antivirus Programme\AVGUARD.EXE
    C:\Programme\Antivirus Programme\AVWUPSRV.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    C:\T-ONLINE\BSW4\ToADiMon.exe
    C:\WINDOWS\system32\addeh32.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\Microsoft\svchost.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Programme\Antivirus Programme\AVGNT.EXE
    C:\WINDOWS\msox32.exe
    C:\Programme\Intern~1\iexplore.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe
    C:\Dokumente und Einstellungen\Heiko\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///
    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie-search.com/home.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie-search.com/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vxpwt.dll/sp.html#96676
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vxpwt.dll/sp.html#96676
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie-search.com/srchasst.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vxpwt.dll/sp.html#96676
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = [URL]http://www.searchv.com/1/search.html[/URL]
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cool-homepage
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie-search.com/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://ie-search.com/srchasst.html (obfuscated)
    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = [URL]http://www.searchv.com/1/search.html[/URL]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cool-homepage
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie-search.com/srchasst.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ie-search.com/srchasst.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/
    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://ie-search.com/home.html (obfuscated)
    R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchv.com/1/search.php?qq=%s
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://66.250.57.28/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
    R3 - Default URLSearchHook is missing
    F0 - system.ini: Shell=
    F1 - win.ini: run=msinfo.exe
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O2 - BHO: (no name) - {3BA4621B-668F-FBD9-89AE-A36509FC69E4} - C:\WINDOWS\winhm32.dll
    O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll (file missing)
    O2 - BHO: (no name) - {9FC37064-207F-1453-42B3-E0875F56ABD4} - C:\WINDOWS\winhm32.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
    O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart
    O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\PROGRA~1\T-Online\ISDNSP~1\Tomcat.exe"
    O4 - HKLM\..\Run: [addrk.exe] C:\WINDOWS\system32\addrk.exe
    O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
    O4 - HKLM\..\Run: [addeh32.exe] C:\WINDOWS\system32\addeh32.exe
    O4 - HKLM\..\RunOnce: [msox32.exe] C:\WINDOWS\msox32.exe
    O4 - HKLM\..\RunOnce: [cran.exe] C:\WINDOWS\cran.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [mssvc] C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\Microsoft\svchost.exe
    O4 - HKCU\..\Run: [SIA5] "C:\Programme\Steganos Internet Anonym 5\sia5.exe" /booting
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O8 - Extra context menu item: Web Search - c:\windows\ex.htm
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: MedionShop - {A93BE350-7A9D-4D8F-88CB-25324E538C29} - http://www.medionshop.de (file missing) (HKCU)
    O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
    O14 - IERESET.INF: START_PAGE_URL=http://www.medion.de
    O15 - Trusted Zone: *.blazefind.com
    O15 - Trusted Zone: *.flingstone.com
    O15 - Trusted Zone: *.mt-download.com
    O15 - Trusted Zone: *.searchbarcash.com
    O15 - Trusted Zone: *.slotch.com
    O15 - Trusted Zone: *.xxxtoolbar.com
    O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
    O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/cab/2000XP/CDTInc/bridge.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A8FE9345-26F0-47D2-A832-D05F6408341D}: NameServer = 217.237.151.161 194.25.2.129
    O19 - User stylesheet: c:\windows\system.css
    O19 - User stylesheet: C:\WINDOWS\default.css (file missing) (HKLM)
    O21 - SSODL: System - {24367FB3-0D90-4D52-B151-6E3A77D4B7C1} - C:\WINDOWS\system32\system32.dll
    O21 - SSODL: Web Event Logger - {79FB9088-19CE-715E-D900-216290C5B738} - C:\WINDOWS\System32\Abjddbgm.dll
     
  2. Fleedy11

    Fleedy11 Byte

    Registriert seit:
    17. Januar 2004
    Beiträge:
    57
    Hallo Heiko,

    Das sind Web-Search Seiten, also ein Hijaker, den Du auf dem System hast.
    Hatte ich auch letztens eingefangen, die Standartseite lies sich nicht mehr festlegen und zusätzlich ist noch eine about blank Seite vorhanden.
    Als hilfreich kann ich Dir zwei Möglichkeiten nennen:

    1. Versuch es mit der Systemwiederherstellung zu einem früheren Zeitpunkt.
    ( Unter Start-Hilfe und Support-Systemwiederherstellung )

    Solltest Du alle früheren Systemprüfpunkte bereinigt haben, dann zu 2.

    2. Lade CW-Shredder herunter. Dieses Programm entfernt die meisten Hijaker und Trojaner. Bei mir hat es problemlos funktioniert.
    Du findest es HIER unter Downloads. Im Suchfenster cwshredder eingeben, Du kommst dann auf die gewünschte Downloadseite.
    Tip: Lass das Progi 2 bis 3 mal scannen, damit auch wirklich alles entfernt wird.
    danach must Du wieder Deine Standartseite festlegen und durch übernehmen abspeichern.
    Da man nie genau weis wer hinter solchen Seiten steckt, solltest du überlegen eventuelle Passwörter zu ändern. Vor allem wenn Du Banking betreibst, oder im Netz shoppen gehst.

    Viel Erfolg, Gruß Fleedy11
     
  3. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo hhc

    Starte deinen Computer im abgesicherten Modus (beim Systemstart F8-Taste drücken), starte HijackThis nochmals und laß folgende Einträge fixen:

    C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\Microsoft\svchost.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated)

    R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http:///

    R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://out.true-counter.com/b/?656387 (obfuscated)

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie-search.com/home.html (obfuscated)

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie-search.com/srchasst.html (obfuscated)

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vxpwt.dll/sp.html#96676

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\vxpwt.dll/sp.html#96676

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://ie-search.com/srchasst.html (obfuscated)

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie-search.com/srchasst.html (obfuscated)

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\vxpwt.dll/sp.html#96676

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = [URL]http://www.searchv.com/1/">[/URL]
    [UR...chv.com/1/">[URL]http://www.searchv.com/1/">[/URL]htt...chv.com/1/search.html

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cool-homepage

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie-search.com/srchasst.html (obfuscated)

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,(Default) = http://ie-search.com/srchasst.html (obfuscated)

    R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/

    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = [URL]http://www.searchv.com/1/">[/URL][UR...chv.com/1/">[URL]http://www.searchv.com/1/">[/URL]htt...chv.com/1/search.html

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://cool-homepage

    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie-search.com/srchasst.html (obfuscated)

    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ie-search.com/srchasst.html (obfuscated)

    R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = http://www.searchv.com/1/

    R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://ie-search.com/home.html (obfuscated)

    R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.searchv.com/1/search.php?qq=%s

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = http://66.250.57.28/

    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

    R3 - Default URLSearchHook is missing

    O2 - BHO: (no name) - {3BA4621B-668F-FBD9-89AE-A36509FC69E4} - C:\WINDOWS\winhm32.dll

    O2 - BHO: brdg Class - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - C:\WINDOWS\Downloaded Program Files\bridge.dll (file missing)

    O2 - BHO: (no name) - {9FC37064-207F-1453-42B3-E0875F56ABD4} - C:\WINDOWS\winhm32.dll

    O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load

    O4 - HKCU\..\Run: [mssvc] C:\Dokumente und Einstellungen\Heiko\Anwendungsdaten\Microsoft\svchost.exe

    O15 - Trusted Zone: *.blazefind.com

    O15 - Trusted Zone: *.flingstone.com

    O15 - Trusted Zone: *.mt-download.com

    O15 - Trusted Zone: *.searchbarcash.com

    O15 - Trusted Zone: *.slotch.com

    O15 - Trusted Zone: *.xxxtoolbar.com

    O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/w...-0-3-9.cab

    O16 - DPF: {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} (brdg Class) - http://static.flingstone.com/c...bridge.cab

    Starte dein System nach der Reinigung wieder neu und erstelle eine neue Log-Datei, deren Inhalt du hier dann wieder postest.

    Gruß
    Nevok
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen