Forum
Tipps
News
Menu-Icon
Thema geschlossen (topic locked)

Startseitenproblem besonders hartnäckig!

ICh benutze Windows XP und den internet Explorer VErsion 6. Leider habe ich mir jetzt ein besonders hartnäckiges Teil eingefangen. AntiVir XP, Spybot (Search and destroy), CWSchredder und selbst Hjack this bekommt das Problem nicht weg. Es scheint sich immer wieder selber zu generieren oder einfach nicht löschbar zu sein. Hab für alle Programme natürlich die neusten Updates runtergeladen und Antivir u. Spybot im abgesicherten Modus ausgeführt. Alles ohne Erfolg!!!

HIer mein Hijackthis Auszug!

Logfile of HijackThis v1.97.7
Scan saved at 19:33:37, on 30.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\Olli\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe



Antworten zu Startseitenproblem besonders hartnäckig!:

Immer das komplette LOG posten

Gruß

Sorry, war das komplette!

Logfile of HijackThis v1.97.7
Scan saved at 19:54:20, on 30.05.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wuamgrd.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Olli\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
O4 - HKLM\..\Run: [Microsoft DirectX] wuamgrd.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunServices: [Microsoft DirectX] wuamgrd.exe
O4 - HKCU\..\Run: [Microsoft DirectX] wuamgrd.exe

Aso, son kurzes LOg schon lang nich mehr gesehn *gg

Prüf mal die Online: Kaspersky-Online Virentest

C:\WINDOWS\System32\wuamgrd.exe

Ansonsten schaut das log sauber aus.

Gruß

Das kurze Log liegt daran, dass ich vorher schon alles rausgeschmissen hab ;-).

Habe inzwischen herausgefunden, dass es sich bei mir auch um eine Cool Web Search VErsion handelt, die CWSchredder lewider nciht erkennt.

Probleme bereiten mir diese Einträge

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.132/redir.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.132/redir.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.132/redir.php

Weil ich beim Starten des IE immer genau auf diese 213.159.117.132 Ip geleitet werde.

Danke für den Tipp aber ich finde diese Datei bei mir nicht. Habe jetzt mal als Alternative mal diese  wupdmgr.exe ähnlich klingende Datei scannen lassen. Diese ist jedoch sauber!!!

Finde allerdings unter meinem Ordner Windows/prefetch diese Datei hier WUAMGRD.EXE-064CD96B.pf, aber auch sie ist ok!

Such mal im abgesicherten-Modus, obst sie dort findest..direkt schauen im Explorer im system32-ordner

Gruß

Datei ist auch im abgesicherten Modus nicht vorhanden. Weder direkt im Ordner (versteckte Dateien natürlich angezeigt), als auch über die Suchfunktion. Nur die oben angegebene komische Datei ist da!

ja wird denn jetzt noch umgeleitet?

Ansonsten such mal nach einer system32.dll und wenn die da ist scann sie online bei kaspersky..

Wenn die auch ned da ist probiers mal mit dem:
Free eScan Antivirus Toolkit Utility

Gruß

Die system32.dll ist da. Nach dem Scannen zeigte er mir folgendes:

system32.dll Infiziert: Trojan.Win32.StartPage.ig

Die Datei ist also infiziert. Nur was soll ich jetzt tun, um das zu beheben???

Mit dem Free eScan Antivirus Toolkit Utility hab ich es jetzt auch mal versucht. Ohne Erfolg. Leitet nach wie vor um!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

such sie doch mal auf Konsolenebene. Start / ausführen / cmd eingeben.

cd \

danach dir /s system32.dll

Die System32.dll Datei hab ich ja gefunden und sie ist infiziert. Leider checkt das aber kein Virusprogramm. Wie bekomm ich das jetzt behoben?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo,

ich würde mal versuchen die system32.dll im abgesicherten
Modus zu löschen oder in system32.dl_ umzubenennen, damit sie bei einem Neustart nicht aufgerufen werden kann. Vielleicht geht es im abgesicherten Modus.

Dann mal nach einem Neustart prüfen ob die Datei wieder angelegt wird.

Habe die Datei umbenannt. Sie wird aber nciht neu angelegt und an meinem Startseitenproblem ändert sich leider auch nichts :-(!

Jaaaaaaa, es scheint geklappt zu haben und zwar habe ich nach dem Umbenennen der system32.dll in system32.dl_ noch einmal Hijackthis drüberlaufen lassen und nun konnte er die Einträge entfernen!!! Ich hoffe das bleibt so!!!

An alle die mir versucht haben zu helfen ein recht herzliches Dankeschön!!!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo,

dann lösch die system32.dl_ auf jeden Fall falls die noch das ist.

Hab ich schon ;-)!!!

Danke!


« Weiß nicht mehr weiter - trojaner, hijacker....Ad-aware »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Grundstrich
Der Begriff des Grundstrichs im Bereich der Typografie, bezeichnet den senkrechten Strich der Buchstaben. Bei Schriftarten mit variabler Strichstärke, wie zum Beispi...

Haarstrich
Der Begriff Haarstrich stammt aus dem Bereich der Typographie. Bei Schriften, wie zum Beispiel der Antiquaschrift mit unterschiedlichen Strichstärken, wird zwischen ...

Explorer
Der Windows Explorer, kurz Explorer, ist ein Dateiverwaltungsprogramm von Microsoft, das seit den früheren Versionen von Windows wie Windows 95 integraler Bestandt...