Wer kann helfen?

von **DMS369** am 30.03.2005, 13:33

Hallo zusammen,

ich habe seit einigen Tagen ein für mich riesiges Problem :heulen: , da ich am PC nicht so bewandert bin (eher der typische User).

Jedesmal wenn ich den Internet Explorer öffne, habe ich folgende Seite als Startseite:

http://web.my-google.biz/clickpps.php

habe schon in der regestrierung versucht diese zu löschen, hithisjack gestartet und die für mich flaschen daten gefixed jedoch kommt es der buck immer wieder

Ich kann die Startseite ändern so of ich will, das führt zu keinem Erfolg.
Des öfteren kommt es auch vor, dass ich keine andere Internetseite öffnen kann und wieder sich die seite http://web.my-google.biz/clickpps.php öffnet.

Mein Virusprogramm (Sophus) hat bisher auf meinem PC keinen Virus erkannt.

Bin für jede Hilfe Dankbar.

von **Luigi** am 30.03.2005, 18:34

Ad-Aware & Spybot mal drüber laufen lassen und Cache + Verlauf mal löschen.

ciao, Luigi

von **DMS369** am 31.03.2005, 16:04

Danke
hat aber leider nichts gebracht habe spybot adware drüberlaufen lassen auch hijackthis benutzt weiß da aber nicht genau welche sachen ich fixen muss

wer kann helfen

danke schon im vorraus

von **Nikita** am 31.03.2005, 16:50

Hallo@DMS369

in diesem Fall solltest du das Log vom HijackTHis posten

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

von **DMS369** am 01.04.2005, 17:40

Logfile of HijackThis v1.99.1
Scan saved at 17:31:43, on 01.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\PowerManagement\PowerManage.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\ORiNOCO\Client Manager\CMLUC.EXE
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\HEIDRU~1\LOKALE~1\Temp\Rar$EX00.727\HijackThis.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\HEIDRU~1\LOKALE~1\Temp\Rar$EX08.328\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://web.my-google.biz/clickpps.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://web.my-google.biz/clickpps.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.my-google.biz/clickpps.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://web.my-google.biz/clickpps.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://web.my-google.biz/clickpps.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://web.my-google.biz/clickpps.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.my-google.biz/clickpps.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://web.my-google.biz/clickpps.php
O1 - Hosts: auto.search.msn.com 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {02849A5F-C1D7-SD59-B27D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {538798762-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E716588-A23F-34D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader\Disk_Monitor.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [PowerManage] C:\Programme\PowerManagement\PowerManage.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [startup] C:\WINDOWS\System32\winlogon32.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus COLOR 580] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_AICN03.EXE /P22 "EPSON Stylus COLOR 580" /O6 "USB001" /M "Stylus COLOR 580"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: winupdate62338458[1].exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ORiNOCO Client Manager.lnk = ?
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EDF5BW1-075F-11D3-938J-23C04FAE2K4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAFD5BB2-370F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-174F-11A3-9107-00F04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O13 - DefaultPrefix: http://web.my-google.biz/best.php?url=
O13 - WWW Prefix: http://web.my-google.biz/best.php?url=
O13 - Home Prefix: http://web.my-google.biz/best.php?url=
O13 - Mosaic Prefix: http://web.my-google.biz/best.php?url=
O16 - DPF: {AB86CE53-AC9F-449F-9389-D8IBCA19EC29} (Get_ActiveX Control) - http://h17000.www1.hp.com/ewfrf-JAVA/Se ... anager.ocx
O16 - DPF: {EB287D5F-E47B-4D16-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/en/check/qdiagh.cab?323
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS

hoffe das wird

von **Nikita** am 01.04.2005, 17:55

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://web.my-google.biz/clickpps.php
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://web.my-google.biz/clickpps.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.my-google.biz/clickpps.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://web.my-google.biz/clickpps.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://web.my-google.biz/clickpps.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.my-google.biz/clickpps.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://web.my-google.biz/clickpps.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://web.my-google.biz/clickpps.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://web.my-google.biz/clickpps.php

O1 - Hosts: auto.search.msn.com 127.0.0.1
O4 - HKLM\..\Run: [startup] C:\WINDOWS\System32\winlogon32.exe
O13 - DefaultPrefix: http://web.my-google.biz/best.php?url=
O13 - WWW Prefix: http://web.my-google.biz/best.php?url=
O13 - Home Prefix: http://web.my-google.biz/best.php?url=
O13 - Mosaic Prefix: http://web.my-google.biz/best.php?url=

PC neustarten

C:\WINDOWS\System32\winlogon32.exe <--loeschen

•Desinfektion von W32/Agobot
Lade: agobtgui.com (du musst als Administrator angemeldet sein --> scannen)
http://bilder.informationsarchiv.net/Ni ... obtgui.com

Hier das Reg-File, das die Standardwerte unter "DefaultPrefix" und "Prefixes" wieder herstellt.
defaultprefix.reg downloaden.
http://www.wintotal.de/Tipps/Eintrag.php?TID=434

•Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program

CWShredder 2.12
http://www.majorgeeks.com/download3019.html
* Double-click on CWShredder.exe.
* Click "Fix ->" and click "OK" at the prompt.
* CWShredder will scan and clean your system of CWS files.
* Click "Next->" and then "Exit".
Log-->"make Report" -> bitte posten

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+
poste auch das neue Log vom HijackTHis

Wer kann helfen?

Wer kann helfen?

Vielen Dank

danke schon mal

Ähnliche Themen

Wer ist online?