Forum
Tipps
News
Menu-Icon

about:blank-Startseite *kotz*

Hallo! Hab mir schon einiges durchgelesen zu diesem Thema mit dieser beknackten (sorry) Startseite, aber irgendwie bin ich noch nicht weiter gekommen... Ich kopiere einfach mal das Ergebnis von HiJackThis hier rein, vielleicht kann mir jemand helfen, wo dran es bei mir genau liegt. "Nighty", du kannst mir hoffentlich helfen, du hast auch schon viele andere zu glücklichen PC-Besitzern gemacht...  ;)

Logfile of HijackThis v1.97.7
Scan saved at 16:34:50, on 08.05.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\windows\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\windows\System32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\windows\Mixer.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\windows\SOINTGR.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Free Surfer\fs20.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\windows\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\windows\System\svchost.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\ScanPanel\ScnPanel.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis1977.zip\HijackThis.exe
C:\windows\System32\taskmgr.exe
C:\windows\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis1977.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\windows\SOINTGR.EXE
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [freesurfer] C:\Programme\Free Surfer\fs20.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [System Update] C:\windows\System\svchost.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Free Surfer (HKLM)
O9 - Extra 'Tools' menuitem: Free Surfer (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89C8D49C-FEFC-40B4-B0B1-54329F20729E}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A73B8C4-6F6F-4ED4-B54F-3ABB3C62BF4A}: NameServer = 62.104.191.241 62.104.196.134

Please, help me!!
MfG Lexy



Antworten zu about:blank-Startseite *kotz*:

Die hier prüfen sind wahrscheinlich Viren/trojaner:

O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [System Update] C:\windows\System\svchost.exe

Beide Dateie gehören normal ins System32-Verzeichnis

Am besten hier prüfen:
http://www.kaspersky.com/de/remoteviruschk.html

Sachste dann mal was es war..

Was haste denn fürn Virenscanner?

Gruß

Also, ich hab die zwei Sachen mal überprüfen lassen... Hier die Ergebnisse:

svchost.exe Infiziert: TrojanClicker.Win32.Small.k

winlogon.exe Infiziert: TrojanClicker.Win32.XMedia.g

Sind das jetzt zwei verschiedene Viren?! Am besten mit Symantec-Removal-Tools bekämpfen, wa?!

Ich hab die Programme Ad-Aware, Spybot, HiJackThis und stinger... norton antivirus 2003 funktioniert irgendwie nich richtig, liegt aber denk ich mal, an dem Virus, der das einwandfreie Laufen verhindert... Dachte anfangs es wäre ein Fehler auf der CD, aber jetzt bin ich ja schlauer.... :-\
Spywareblaster hab ich jetzt noch runtergeladen, mal sehen was der noch so bringt...

Gib nochmal bitte Bescheid, was das Ergebnis von kaspersky.com jetzt genau bedeutet...

MfG Lexy

Den xmedia gabs heut schonmal im Forum, das isn Dialer, wird der andere wahrscheinlich auch sein...

Am besten besorgst dir unter www.avp.ch mal ne Testversion von Kaspersky und dann trägst bei Update-server folgenden ein:

f tp://updates1.kaspersky-labs.com/updates_ext

Dann erkennt er auch Dialer-gelumpe etc..

Ansonsten kannste dir noch Trendmicros Systemcleaner (hier im Forum nach sysclean suchen) besorgen, und dann mit dem erstmal im abgesicherten-Modus scannen

Und Norten..naja am besten ab in där Tonne oder bei Ebay verscherbeln *g

Gruß

« Letzte Änderung: 08.05.04, 21:09:10 von Nighty »

Hab das gleiche pro hier mal mein Hijack this file


Logfile of HijackThis v1.97.7
Scan saved at 05:05:56, on 09.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\aecr.exe
C:\Programme\AntiVirenKit\AVKService.exe
C:\Programme\AntiVirenKit\AVKWCtl.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Programme\Hi Jack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpfa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpfa.dll/sp.html (obfuscated)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpfa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\fpfa.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\fpfa.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\fpfa.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {6DF0B97E-5188-4A51-B566-E74399AF200A} - C:\WINDOWS\System32\fpfa.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\System32\winadm.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Apwo] C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\aecr.exe
O4 - HKCU\..\Run: [Steam] C:\Dokumente und Einstellungen\Michael\Eigene Dateien\Programme\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Messenger (HKLM)
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{15DF94ED-F237-450E-AC0D-A4CA4E328DE6}: NameServer = 145.253.2.174 145.253.2.81
O17 - HKLM\System\CS1\Services\Tcpip\..\{15DF94ED-F237-450E-AC0D-A4CA4E328DE6}: NameServer = 145.253.2.174 145.253.2.81



danke für hilfe im vorraus.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

bitte immer einen eigenen Thread pro Problem machen....

R0 und R1 alle raus, die Datei c:\windows\sysystem32\fpfa.dll suchen und löschen falls vorhanden (Browser zu und evtl. auch erst im abgesicherten Modus möglcih).

O2 - BHO: (no name) - {6DF0B97E-5188-4A51-B566-E74399AF200A} - C:\WINDOWS\System32\fpfa.dll

bekannt oder nicht winadm.exe? Sonst weg.

O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\System32\winadm.exe

der auch:

O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab

Hallo! Ich hab mir jetzt n ordentliches Virenprogramm besorgt (AntiVirenKit 2004), hat im Test bei "Chip" am besten abgeschnitten... Das findet zwar den "TrojanClicker.Win32.XMedia.g", aber den anderen ("TrojanClicker.Win32.Small.k") hat mir bislang noch nicht ein Programm als Virus oder ähnliches angezeigt... Dazu kommt, das man diesen Xmedia.g nicht löschen kann bzw die Datei winlogon.exe nicht desinfizieren kann... Nun wurde die Datei vom Antivirenkit unter Quarantäne gestellt, was das auch immer bedeutet?!?!
Bei dem Kaspersky-Programm: wo muß ich das diesen Update-Server (ftp://updates1.kaspersky-labs.com/updates_ext) eintragen?!

Und hier nochmal ein aktueller HiJackThis-Log... Ich glaub da is schon wieder neues Übel dabei...

Logfile of HijackThis v1.97.7
Scan saved at 20:30:04, on 13.05.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\windows\Mixer.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\windows\SOINTGR.EXE
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\windows\System32\nvsvc32.exe
C:\Programme\Free Surfer\fs20.exe
C:\Programme\D-Tools\daemon.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Winamp\winampa.exe
C:\windows\System32\ctfmon.exe
C:\windows\System\svchost.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\ScanPanel\ScnPanel.exe
C:\windows\explorer.exe
C:\Dokumente und Einstellungen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\windows\SOINTGR.EXE
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [freesurfer] C:\Programme\Free Surfer\fs20.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [System Update] C:\windows\System\svchost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Free Surfer (HKLM)
O9 - Extra 'Tools' menuitem: Free Surfer (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89C8D49C-FEFC-40B4-B0B1-54329F20729E}: NameServer = 192.168.120.252,192.168.120.253

Ich bedanke mich schonmal im Voraus für die dringend benötigte Hilfe... *seufz*
MfG Lexy

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

sieht doch soweit OK aus. Für die nächsten:


bitte einen neuen Thread erstellen für eigene Fragen in Sachen Log-File

Hallo! Ist doch mein Thread... Kann doch nix dafür, das da n anderer was reingeschrieben hat....
Aber irgendwie sind von meinen Fragen, die ich oben noch gestellt hab, keine beantwortet worden...  :'(
ich hoffe, da hilft mir nochmal jemand, ich bin hier echt am verzweifeln...
wie soll ich mit den beiden, weiter oben genannten, infizierten Dateien weiterverfahren?!

MfG Lexy

Und übrigens: Das Problem mit der Startseite "about:blank" hab ich immer noch... (Zumindest im Internet Explorer, mit Mozilla Firefox gehts...)

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

deswegen steht ja auch für die nächsten...

SOINTGR.EXE was istn das für eins?

DIe R1 sind jetzt als Startseiten drin, und was für eine kommt statt dessen jetzt?

Hallo! Also diese "sointgr.exe" hab ich mal bei kaspersky überprüfuen lassen, die ist sauber, daran liegts also schonmal nicht, denke ich...
Das die Startseite im letzten geposteten Log richtig eingetragen ist, liegt wahrscheinlich daran, das ich sie vorher manuell geändert hatte... Ich hab das jetzt noch mal nachgeprüft und das Problem besteht immer noch... Wenn ich die Startseite manuell auf freenet.de ändere, funktioniert das auch beim Einloggen ins Netz... Wenn ich mich dann wieder auslogge und ein weiteres Mal einloggen will, ist aber wieder diese "about:blank"-Seite  da, die ich aber gar nicht will...
Hab das System jetzt nochmal gescannt ohne manuell auf freenet.de zu ändern... Hier der Log:

Logfile of HijackThis v1.97.7
Scan saved at 13:00:49, on 15.05.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVirenKit 2004\AVKService.exe
C:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\windows\System32\nvsvc32.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\windows\Explorer.EXE
C:\windows\Mixer.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Free Surfer\fs20.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Winamp\winampa.exe
C:\windows\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\windows\System\svchost.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\ScanPanel\ScnPanel.exe
C:\Dokumente und Einstellungen\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\windows\SOINTGR.EXE
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [freesurfer] C:\Programme\Free Surfer\fs20.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [ElbyCheckElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [System Update] C:\windows\System\svchost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ScanPanel.lnk = C:\ScanPanel\ScnPanel.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent (HKLM)
O9 - Extra button: Free Surfer (HKLM)
O9 - Extra 'Tools' menuitem: Free Surfer (HKLM)
O9 - Extra button: Real.com (HKLM)
O9 - Extra button: MedionShop (HKCU)
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89C8D49C-FEFC-40B4-B0B1-54329F20729E}: NameServer = 192.168.120.252,192.168.120.253

Was is denn das letzte (017) fürn Ding?!
ja und wie gesagt und oben beschrieben... winlogon.exe und svchost.exe sind infiziert, aber ich hab noch keine Möglichkeit gefunden, diese zu desinfizieren...

MfG Lexy

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Da ist noch was

C:\windows\System\svchost.exe

die prüf mal, das könnt n Virus sein, normal ist die in System32

dann müssten ja die beidn R1 wieder rau

O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com

Q17 ist deine aktuelle Verbindung

Diese Datei ist infiziert, das hab ich ja schonmal nachgeprüft... Hier nochmal das Ergebnis:

Zu überprüfende Datei:   svchost.exe
svchost.exe UPX
svchost.exe Infiziert: TrojanClicker.Win32.Small.k

Das Problem ist nur, das kein Virenprogramm das Ding findet... Wie soll ich vorgehen?! Bei den Removal Tools von Symantec hab ich auch nix gefunden... Is echt nicht einfach mit so nem Computer... :-\

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ich hoffe im abgesicherten Modus kannst du die Datei einfach löschen. Ansonsten mal McAffe Avert holen (2. Thread oben da steht der LInk, der sollte es doch hoffentlich finden).

Hallo! So, hier mal wieder ein paar Neuigkeiten von der Viren-Front... Hab jetzt glaub eich alles wegbekommen, was so an Viren und sonstigem Gesocks auf meinem Rechner war... Das Stinger-Programm hatte ich schon vorher, das hat den in der svchost.exe aber auch nicht gefunden... sysclean hat ihn aber unschädlich gemacht... Echt zu empfehlen dieses Programm... Im Internet Explorer ändert sich die Startseite immernoch automatisch in about:blank, aber ich benutze den jetzt halt nicht mehr, Mozilla Firefox is irgendwie sowieso schöner...
Aber ich hab auch schon wieder neue Probleme: Hilfe-, Such- und Wiederherstellungsfunktin und der WIndows Media  Player funktionieren nicht mehr... Woran könnte das liegen?!

MfG Lexy

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

man könnte jetzt noch eine WIndows-Reparatur vornehmen um nicht alles einzeln rauszufriemeln, die Daten bleiben damit erhalten. Allerdings sind Updates danach neu aufzuspielen.

http://www.computerhilfen.de/tipps-windows-xp-reparatur.php3

Um die praktischen Seiten des IE nicht zu vermissen und trotzdem ohne about:blank durchs Surferleben zu kommen, benutze ich NoURL von www.centsoft.de . Das verhindert (bis jetzt) die unbefugte Veränderung der Startseite im IE.

@Lexy:

Benutz das sysclean im abgesicherten Modus dann sollte auch alles desinfiziert werden können.

Anonsten besorgst dir unter www.avp.ch ne Trialversion von Kaspersky und trägst folgenden als Updatsever ein:

ftp://updates1.kaspersky-labs.com/updates_ext

Dann werden auch Hijacker/Dialer etc erkannt..

Gruß

Hallo, bei mir wird auch immer wieder aufs neue die Startseite auf "about:blank" gesetzt. Habe schon mehrmals Hijack laufen lassen, Problem kommt aber immer wieder zurück. Weiß hier vielleicht jemand Rat?

Logfile of HijackThis v1.97.7
Scan saved at 16:33:58, on 22.05.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\NORTON INTERNET SECURITY\NISSERV.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\SYSTEM\SCARDSVR.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\NISUM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\IAMAPP.EXE
C:\PROGRAMME\NORTON INTERNET SECURITY\ATRACK.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\STARTER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\PRINTRAY.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVAPW32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\POPROXY.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\BILLP STUDIOS\WINPATROL\WINPATROL.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\RNATHCHK.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
D:\EIGENE DATEIEN\DOWNLOADS\PRIVAT\HIJACKTHIS.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:4001
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [EnsoniqMixer] starter.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NVQuickTweak] RUNDLL32.EXE NVQTWK.DLL,NvTaskbarInit
O4 - HKLM\..\Run: [LexStart] Lexstart.exe
O4 - HKLM\..\Run: [LexmarkPrinTray] PrinTray.exe
O4 - HKLM\..\Run: [NAV DefAlert] C:\PROGRA~1\NORTON~1\DEFALERT.EXE
O4 - HKLM\..\Run: [Norton Auto-Protect] C:\PROGRA~1\NORTON~1\NAVAPW32.EXE /LOADQUIET
O4 - HKLM\..\Run: [Norton eMail Protect] C:\Programme\Norton AntiVirus\POPROXY.EXE
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [WinPatrol] C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [TwkSCardSrv] C:\WINDOWS\SCARDS32.exe
O4 - HKLM\..\RunServices: [SCardSvr] C:\WINDOWS\SYSTEM\SCardSvr.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: MSN Messenger Service (HKLM)
O9 - Extra button: Recherche-Assistent (HKLM)
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?38074.5599074074

Gruß
Curious

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

bitte mach einen eigenen Thread dafür auf. Und vorher die anderen Programme wie Spybot und CWS-Shredder drüber laufen lassen siehe Magazin - Spyware. Und wenn du das Log dann erstellst, bitte möglichst alle laufenden Programme schließen.

« Letzte Änderung: 22.05.04, 17:43:46 von Dr.Nope »

Hi, ich hatte das gleiche Problem und habe es mit

http://www.chip.de/downloads/c_downloads_11353799.html

gelöst. :)

Dorian

habe es auch schon mit cwshreder versucht für den moment ist alles weg aber einen tag später


sobald ich den pc einen tag nach vorn drehe  also ein anderes datum eingebe ist alles wieder so das dsich die startseite ändert und habe mir noch den aktuellen spybot heruntergeladen und der findet dan immer diesen WebDialer: Settings (Registrierungsdatenbank-Wert, nothing done)
  HKEY_USERS\S-1-5-21-1177238915-362288127-1801674531-1004\Software\Microsoft\Internet Explorer\Main\HOMEOldSP
 


kann mir jemand bei meinem problem helfen

danke

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Magazin - Spyware lesen, anwenden und Hijackthis laufen lassen. Log erzeugen darin und in einem neuen Thread mit Problembeschreibung posten. Nicht hintern dran an einem anderen...

hallo, hatte ewigkeiten das selbe Problem. Mir braucht keiner mehr erzählen, das mit CW SHREDDER oder Spybot, ADWARE oder sonstigen Fixtools das Problem zu beseitigen sei. Das stimmt nicht!!! Ich war schon am verzweifeln aber dann fand ich das.

http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix

und damit hat es funktioniert. Ich bin echt erleichtert. Nicht aufgeben alles wird gut.

MFG
Bergsteiger


« log file hijack-this bitte schnelle antwort Heuristic/Trojan.Win32 »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Logfile
Eine Log-Datei ist eine Datei mit einer Art Protokoll, dass Aufschluss gibt über jegliche Aktivität auf einem Rechner. Das automatrisch geführte Protokoll ...

Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...