Bitte um Hilfe beiStartseiten-Trojaner bestsearch.cc/3100

Is das das ganze Log?

Was haste denn schon gemacht?

Gruß

sorry,

so muß es sein.

Ich hatte schon mit fix checked R1,R0 u.R13 bereinigt.
Beim erneuten scan mit Hijack hat er sie wider mit aufgeführt???


Logfile of HijackThis v1.98.2
Scan saved at 23:35:03, on 12.09.2004
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\CiDial\CiDial.exe
C:\WINDOWS\System32\DVDRAMSV.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Java\j2re1.4.2_04\bin\javaw.exe
C:\Dokumente und Einstellungen\chii\Desktop\HijackThis19802.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.50.191.52/3100/sp.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://69.50.191.52/3100/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://69.50.191.52/3100/sp.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: InterCheck Monitor.lnk = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - DefaultPrefix: http://69.50.191.50/?
O17 - HKLM\System\CCS\Services\Tcpip\..\{8A42F239-919F-4A2C-B479-F3BD3499EAD9}: NameServer = 62.72.64.237 62.72.64.241

Prüf mal die beiden Datein hier Online:

Kaspersky-Online Virentest
C:\Programme\CiDial\CiDial.exe
O4 - HKLM\..\Run: [svchost] C:\WINDOWS\svchost.exe

Und ich meinte was du ausser Hijackthis schon ausprobiert hast um das Problem zu lösen

Gruß

Kaspersky hat folgendes gefunden:

svchost.exe Infiziert: Trojan.Win32.StartPage.nm

Mit sophos und stinger habe ich zuvor keinen Virus gefunden.

Was nun?

Hier Escan runterladen->updaten wie beschrieben->Offline gehn->Systemwiederherstellung deaktivieren(ME/XP)

Temp-Ordner + Temporäre Internetfiles leeren und wenn Java-Sun installiert ist, den Java-Cache.

Dann in den abgesicherten-Modus booten(siehe Systemwiederherstellung deaktivieren) -> Escan starten (doppelklick mwavscan.com) -> Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und Scan All Files und das System damit scannen(Scan Clean).

Danach ganz normal booten und wenns immernoch so ist ein LOG machen mit HIjackthis V1.98.2
Wenn nicht die Systemwiederherstellung wieder aktivieren und gut.

Und du solltest unbedingt dein System updaten XP-SP2 (vorher ein Backup/Image des Systems machen) und IE6-SP1 + Windows-Update für die Patches die nicht im SP enthalten sind.

Und dann am besten den Browser wechseln zb Firefox, weil die meisten Hijacker/Downloader (so wie deiner) über IE-Sicherheitslücken aufs System kommen.

Naja und dann solltest dir mal nen andern AV-Scanner zulegen, Kaspersky oder Mcafee...

Gruß

Escan hat den Virus gefunden und entfernt.

Vielen Dank für deine schnelle Hilfe.

Gruß