Problem res://mshp.dll/index.html#37049 bitte um eure hilfe!

von **Danni 30** am 12.06.2004, 17:28

Hallo Leute,

ich habe ein Problem mit einem Trojaner(vermute ich).
Er verändert ständig meine Startseite und es erscheinen pausenlos popups
res://mshp.dll/index.html#37049

Ich habe mittlerweile schon eine ganze menge ausprobiert aber ohne Erfolg
1 Ad-aware 6
2 Spybot-Search &Destroy 1.3
konnte Proleme beheben nur leider waren sie nach dem Neustart wieder da
3 HiJack This

Bitte helft mir da ich kurz vor einen Anfall stehe!! :roll:

Logfile of HijackThis v1.97.7
Scan saved at 17:45:54, on 12.06.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\CMMPU.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\SYSTEM\ATIPTAXX.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ANTIVIRENKIT 2004\AVKWCTL9.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\Online\BSW3\ONLINE.EXE
C:\ONLINE\BSW3\TODUCALC.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\DESKTOP\HJT.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online
F1 - win.ini: run=C:\WINDOWS\SYSTEM\cmmpu.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (file missing)
O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\ANWENDUNGSDATEN\IEFU\NTGP.DLL
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\IEVT\IEVT.DLL
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\ANWENDUNGSDATEN\IEVT\ATLGM32.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AtiCwd32] Aticwd32.exe
O4 - HKLM\..\Run: [AtiQiPcl] AtiQiPcl.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [AVKWCtl] C:\PROGRA~1\ANTIVI~2\AVKWCTL9.EXE
O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\SDKQH32.DLL,Install
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\PROGRAMME\GEMEINSAME DATEIEN\G DATA\AVKMAIL\AVKPOP.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evxx.exe
O4 - HKCU\..\RunServices: [Image] rundll32 C:\WINDOWS\SDKQH32.DLL,Install
O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de
O16 - DPF: {6B4788E2-BAE8-11D2-A1B4-00400512739B} (PWMediaSendControl Class) - http://216.249.24.140/code/PWActiveXImgCtl.CAB
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EP ... -0-3-0.cab
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab

von **Jinxy** am 12.06.2004, 19:34

Hi,

starte im abgesicherten Modus und rufe Start - Ausführen regedit auf. Gehe dann zu dem Schlüssel auf der linken Seite

HKEY_CURRENT_USER>Software>Microsoft>Windows>Current Version>Runonce

lösche Folgenden Schlüssel auf der rechten Seite, falls er existiert:

iefeats1Update = "rundll32 <path to virus>\iefeats1.dll,UpdateDlls

Dann stelle die Systemwiederherstellung ab und lösche folgende Dateien in C:\Windows

IEFEATSL.DLL
MSIESH.DLL
SUBMITHOOK.DLL
UNINSTALL.EXE
UNINSTALL.INI
MSHP.DLL

Dann resette die Start- und Suchseite vom IE. Schließe alle Internet Explorer Fenster und öffne in der Systemsteuerung die Internetoptionen - Programme - und auf Webeinstellungen zurücksetzen klicken.

PC booten und den CWShredder drüber laufen lassen. Dann mache noch einen kompletten Virusscan mit Antivir z.B. oder einen Online Scan hier:
http://housecall.trendmicro.com/

Gruß Jinxy

von **Nikita** am 12.06.2004, 21:35

Zusaetzlicher Tip>

Lade
AdAware free
Spybot *deinstalliere das alte, es ist zerstoert
CWHredder
Sphjfix.ex
http://www.trojaner-info.de/anleitungen ... blank.html

scanne mit dem HijackThis, hake an, was ich poste und dann \fix\

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://mshp.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://mshp.dll/index.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://mshp.dll/sp.html#37049

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (file missing)
O2 - BHO: ShowSearch module - {E2DDF680-9905-4dee-8C64-0A5DE7FE133C} - C:\WINDOWS\ANWENDUNGSDATEN\IEFU\NTGP.DLL
O2 - BHO: . - {D34F08C5-4F18-477c-86CB-1A9BEECFE37B} - C:\WINDOWS\ANWENDUNGSDATEN\IEVT\IEVT.DLL
O2 - BHO: (no name) - {FD9BC004-8331-4457-B830-4759FF704C22} - C:\WINDOWS\ANWENDUNGSDATEN\IEVT\ATLGM32.DLL

O4 - HKLM\..\Run: [Image] rundll32 C:\WINDOWS\SDKQH32.DLL,Install

neustarten

scanne .ohne Internetverbindung !!!!!!!!!!!!!!!!!!!
AdAware
Spybot
CWShredder
Sphjfix.exe

1.Loesche die TemporaryInternetFiles unter InternetOptionen und stelle die
Startseite neu ein.
.............................................................................................................
2.Lade xp/Clear..Version 5.5.
und suche die Eintraege, die zu loesche sind, falls sie noch da sind.
http://www.xpclean.de/index.htm?http:// ... angold.htm

C:\WINDOWS\sdkqh32.dll <-------- Loesche .
NTGP.DLL
mshp.dll
...........................................................................................................
.

3.Lade den Firefox...ist hijackerfrei und surfe mit ihm
http://www.firebird-browser.de/

4.Lade das Antivirentool mwav.exe und scanne .
Poste dann das Log sowie das neue HijackThisLog
MfG
Nikita

Problem res://mshp.dll/index.html#37049 bitte um eure hilfe!

Problem res://mshp.dll/index.html#37049 bitte um eure hilfe!

Ähnliche Themen

Wer ist online?